SAN 用記憶域マネージャーでは、いくつかのレベルの iSCSI セキュリティを利用できます。基本レベルは、チャレンジ ハンドシェイク認証プロトコル (CHAP) に基づいています。CHAP は、接続のピアを認証するために使用されるプロトコルであり、シークレット (パスワードに類似したセキュリティ キー) を共有するピアに基づいています。IP セキュリティ (IPsec) は、IP パケット レイヤーでの認証とデータ暗号化を強制的に実行するプロトコルであり、追加のセキュリティ レベルを提供します。

重要

この機能によって、iSCSI の構成と管理に関連するタスクの、選択したサブセットの実行が可能になります。それらのほかに、Windows Server 2008 の管理ツールに含まれる Microsoft iSCSI イニシエーターを使用するタスクも実行できます。また、ネットワークと記憶域のソリューションのベンダーからは、iSCSI の構成および管理タスクを実行する類似したツールが提供されます。iSCSI の詳細については、https://go.microsoft.com/fwlink/?LinkId=102299 (英語の可能性あり) を参照してください。

組織のセキュリティ ポリシーに最適なセキュリティ レベルを選択する必要があります。

  • 一方向の CHAP 認証。このセキュリティ レベルでは、ターゲットがイニシエーターを認証するだけです。シークレットはターゲットにのみ設定されます。そのターゲットにアクセスするすべてのイニシエーターは、同じシークレットを使用してターゲットとのログオン セッションを開始する必要があります。

  • 相互 CHAP 認証。このセキュリティ レベルでは、ターゲットとイニシエーターが相互に認証します。記憶域ネットワーク (SAN) 内の各ターゲットと各イニシエーターに、別のシークレットが設定されます。

  • IPsec。このセキュリティ レベルでは、データ転送中に送信されるすべての IP パケットが、暗号化および認証されます。すべての IP ポータルで 1 つの共通のキーが設定されるため、すべてのピアが互いを認証し、パケットの暗号化をネゴシエートできます。詳細については、IPsec に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=93520) を参照してください。

注意

最低でも、iSCSI イニシエーターとターゲットの間で一方向の CHAP 認証を使用してください。

記憶域サブシステムに設定できるセキュリティ レベルは、ハードウェア製造元によって異なります。すべてのサブシステムが、すべての iSCSI セキュリティ レベルをサポートしているわけではありません。サポートされているセキュリティ レベルを確認するには、ハードウェア製造元に問い合わせる必要があります。

iSCSI の詳細については、https://go.microsoft.com/fwlink/?LinkId=93543 (英語の可能性あり) を参照してください。

この操作を正常に行うには、少なくともローカルAdministrators グループ、またはそれと同等の権限を持つグループのメンバーである必要があります。 適切なアカウントおよびグループ メンバーシップの使用の詳細については、https://go.microsoft.com/fwlink/?LinkId=83477 (英語の可能性あり) をご確認ください。

iSCSI セキュリティを管理するには
  1. コンソール ツリーで、[LUN の管理] をクリックします。

  2. [操作] ウィンドウで、[iSCSI セキュリティの管理] をクリックします。

  3. 一方向の CHAP 認証を構成するには、[iSCSI セキュリティの管理] ダイアログ ボックスの [ターゲット] タブで、次の設定を構成します。

    1. ターゲットごとに異なる CHAP シークレットを構成する場合、CHAP シークレットを設定するターゲットをターゲットの一覧から選択し、[シークレットの設定] をクリックします。

      または

      ターゲットのグループに同じ CHAP シークレットを使用するには、一覧からターゲットを複数選択し、[シークレットの設定] をクリックします。

    2. [シークレットの設定] ダイアログ ボックスで、ターゲット CHAP シークレットを入力し、確認します。

    3. 新しいシークレットを自動的にローカル イニシエーターに渡す必要がある場合は、[ローカル イニシエーターにシークレットを保存する] をクリックします。

    4. 新しいシークレットを設定するには、[OK] をクリックします。

  4. 相互 CHAP 認証を構成するには、最初に手順 3 を実行して一方向の CHAP 認証を構成する必要があります。次に、[ローカル イニシエーター] タブで、次の構成を入力します。

    1. ローカル イニシエーターの CHAP シークレットを入力し、確認します。

    2. 相互 CHAP 認証では、イニシエーターは、イニシエーターのシークレットを認識しているターゲットにのみログオンできます。サーバーがアクセスする必要のあるターゲットとの間でイニシエーターのシークレットを共有するには、イニシエーター側で認証する各ターゲットをターゲットの一覧から選択します。

    3. ローカル イニシエーターに新しいシークレットを設定し、選択したターゲットとの間でそのシークレットを共有するには、[シークレットの適用] をクリックします。

  5. IPsec を構成するには、[iSCSI セキュリティの管理] ダイアログ ボックスの [ポータル] タブで、次の設定を構成します。

    1. ポータルごとに異なる IPsec キーを使用する場合は、ポータルの一覧からポータルを選択し、[IPsec キーの設定] をクリックします。

      または

      ポータルのグループに同じ IPsec キーを使用するには、一覧からポータルを複数選択し、[IPsec キーの設定] をクリックします。

    2. [IPsec キーの設定] ダイアログ ボックスに新しい IPsec キーを入力し、確認します。

    3. 新しいキーを自動的にローカル イニシエーターに渡す必要がある場合は、[ローカル イニシエーターに IPsec キーを保存する] を選択します。

    4. 新しい IPsec キーを設定するには、[OK] をクリックします。

  6. iSCSI セキュリティの構成が完了したら、[閉じる] をクリックします。