Er zijn meerdere iSCSI-beveiligingsniveaus beschikbaar met Opslagbeheer voor SAN's. Het basisniveau is gebaseerd op CHAP (Challenge Handshake Authentication Protocol). CHAP is een protocol dat wordt gebruikt om de peer van een verbinding te verifiëren en is gebaseerd op de peers die een geheim delen (een beveiligingssleutel die vergelijkbaar is met een wachtwoord). IP security (IPSec) is een protocol dat verificatie en gegevensbeveiliging bij de IP-pakketlaag afdwingt, waardoor een toegevoegd beveiligingsniveau wordt geboden.

Belangrijk

Met dit onderdeel kunt u een specifieke subset taken voor iSCSI-configuratie en -beheer uitvoeren. U kunt deze en andere taken ook uitvoeren met de Microsoft iSCSI-initiator, die deel uitmaakt van Systeembeheer in Windows Server 2008. Daarnaast bieden leveranciers van netwerk- en opslagoplossingen vergelijkbare hulpmiddelen voor het uitvoeren van iSCSI-configuratietaken en -beheertaken. Zie https://go.microsoft.com/fwlink/?LinkId=102299 voor meer informatie over iSCSI.

U moet het beveiligingsniveau selecteren dat het beste bij het beveiligingsbeleid van uw organisatie past:

  • One-way CHAP authentication. Met dit beveiligingsniveau wordt de initiator alleen door het doel geverifieerd. Het geheim wordt alleen voor het doel ingesteld en alle initiators die toegang tot dat doel willen hebben, moeten hetzelfde geheim gebruiken om een aanmeldingssessie met het doel te starten.

  • Mutual CHAP authentication. Met dit beveiligingsniveau verifiëren het doel en de initiator elkaar. Er wordt voor elk doel en voor elke initiator een afzonderlijk geheim ingesteld in het SAN (Storage Area Network).

  • IPsec. Met dit beveiligingsniveau worden alle IP-pakketten versleuteld en geverifieerd die tijdens gegevensoverdracht worden verzonden. Er wordt voor alle IP-portals een gemeenschappelijke sleutel ingesteld, zodat alle peers elkaar kunnen verifiëren en kunnen onderhandelen over de pakketversleuteling. Zie IPSec (https://go.microsoft.com/fwlink/?LinkId=93520) voor meer informatie. (Deze pagina is mogelijk Engelstalig.)

Waarschuwing

Gebruik minimaal CHAP-eenrichtingsverificatie tussen iSCSI-initiators en -doelen.

Opmerking

Welk beveiligingsniveau u voor een opslagsubsysteem kunt instellen, is afhankelijk van de hardwarefabrikant. Niet alle subsystemen ondersteunen alle niveaus van iSCSI-beveiliging. Neem contact op met uw hardwarefabrikant om na te gaan welk niveau van beveiliging wordt ondersteund.

Zie https://go.microsoft.com/fwlink/?LinkId=93543 voor meer informatie over iSCSI. (Deze pagina is mogelijk Engelstalig.)

Lidmaatschap van de lokale groep Administrators , of daaraan gelijk, is minimaal vereist om deze procedure te voltooien. Bekijk de details over het gebruik van de juiste accounts en groeplidmaatschappen op https://go.microsoft.com/fwlink/?LinkId=83477.

iSCSI-beveiliging beheren

  1. Klik in de consolestructuur op LUN-beheer.

  2. Klik in het deelvenster Acties op iSCSI-beveiliging beheren.

  3. U kunt CHAP-eenrichtingsverificatie configureren door in het dialoogvenster iSCSI-beveiliging beheren op het tabblad Doelen de volgende instellingen te gebruiken:

    1. Als u verschillende CHAP-geheimen voor verschillende doelen wilt configureren, selecteert u in de lijst met doelen het doel waarvoor u het CHAP-geheim wilt instellen en klikt u op Geheim instellen.

      -of-

      Als u hetzelfde CHAP-geheim wilt gebruiken voor een groep doelen, selecteert u de doelen in de lijst en klikt u op Geheim instellen.

    2. Typ in het dialoogvenster Geheim instellen het CHAP-doelgeheim en bevestig dit geheim.

    3. Selecteer eventueel Geheim van lokale initiator onthouden als u het nieuwe geheim automatisch aan de lokale initiator wilt doorgeven.

    4. Klik op OK om het nieuwe geheim in te stellen.

  4. Als u wederzijdse CHAP-verificatie wilt configureren, moet u eerst CHAP-eenrichtingsverificatie configureren door stap 3 uit te voeren. Voer vervolgens de volgende configuratie in op het tabblad Lokale initiator:

    1. Typ en bevestig het CHAP-geheim voor de lokale initiator.

    2. Bij wederzijdse CHAP-verificatie kan de initiator zich alleen bij doelen aanmelden die het initiatorgeheim kennen. Als u het initiatorgeheim wilt delen met de doelen waartoe de server toegang moet hebben, selecteert u in de lijst met doelen elk doel dat u op de initiator wilt verifiëren.

    3. Als u het nieuwe geheim voor de lokale initiator wilt instellen en wilt delen met de geselecteerde doelen, klikt u op Geheim toepassen.

  5. U kunt IPSec configureren door in het dialoogvenster iSCSI-beveiliging beheren op het tabblad Portals de volgende instellingen te configureren:

    1. Als u verschillende IPSec-sleutels voor verschillende portals wilt gebruiken, selecteert u een portal in de lijst met portals en klikt u op IPSec-sleutel instellen.

      -of-

      Als u dezelfde IPSec-sleutel wilt gebruiken voor een groep portals, selecteert u de portals in de lijst en klikt u op IPSec-sleutel instellen.

    2. Typ en bevestig in het dialoogvenster IPSec-sleutel instellen de nieuwe IPSec-sleutel.

    3. Selecteer eventueel IPSec-sleutel van lokale initiator onthouden als u de nieuwe sleutel automatisch aan de lokale initiator wilt doorgeven.

    4. Klik op OK om de nieuwe IPSec-sleutel in te stellen.

  6. Klik op Sluiten als u de iSCSI-beveiliging hebt geconfigureerd.

Aanvullende naslaginformatie

Inhoudsopgave