U kunt Opslagverkenner gebruiken om de iSCSI-beveiligingsinstellingen te configureren die initiators in uw SAN (Storage Area Network) nodig hebben om verbinding te maken met doelen en doelportals. Er zijn diverse beveiligingsniveaus beschikbaar voor iSCSI en u moet het niveau kiezen dat vereist is voor het doel of de doelportal.

Belangrijk

Met dit onderdeel kunt u een specifieke subset taken voor iSCSI-configuratie en -beheer uitvoeren. U kunt deze en andere taken ook uitvoeren met de Microsoft iSCSI-initiator, die deel uitmaakt van Systeembeheer in Windows Server 2008 of hoger. Daarnaast bieden leveranciers van netwerk- en opslagoplossingen vergelijkbare hulpmiddelen voor het uitvoeren van iSCSI-configuratietaken en -beheertaken. Zie https://go.microsoft.com/fwlink/?LinkId=102299 (de pagina is mogelijk Engelstalig) voor meer informatie over iSCSI.

Opslagverkenner biedt ondersteuning voor de volgende iSCSI-beveiligingsniveaus:

CHAP-verificatie

CHAP (Challenge Handshake Authentication Protocol) is het basisniveau voor beveiliging. CHAP is een protocol dat wordt gebruikt om de peer van een verbinding te verifiëren en is gebaseerd op de peers die een geheim delen (een beveiligingssleutel die vergelijkbaar is met een wachtwoord).

Er zijn twee typen CHAP-verificatie:

  • One-way CHAP authentication. Met dit beveiligingsniveau wordt de initiator alleen door het iSCSI-doel geverifieerd. Het geheim wordt alleen ingesteld voor het doel. Alle initiators die toegang willen verkrijgen tot dat doel, moeten hetzelfde geheim gebruiken om een aanmeldingssessie met het doel te starten.

  • Mutual CHAP authentication. Met dit beveiligingsniveau verifiëren het iSCSI-doel en de initiator elkaar. Er wordt voor elk doel en voor elke initiator een afzonderlijk geheim ingesteld in het SAN.

Waarschuwing

Gebruik minimaal CHAP-eenrichtingsverificatie tussen iSCSI-initiators en -doelen.

RADIUS-verificatie

RADIUS (Remote Authentication Dial-In User Service) is een standaard die wordt gebruikt voor het onderhoud en beheer van gebruikersverificatie en -validatie. In tegenstelling tot CHAP wordt verificatie met RADIUS niet uitgevoerd tussen peers, maar tussen een RADIUS-server en een client. Wanneer een gebruiker (een iSCSI-initiator) toegang wil tot de bronnen van een client (een iSCSI-doel), verzendt de client een aanvraag voor een gebruikersverbinding naar de RADIUS-server. De RADIUS-server is verantwoordelijk voor de verificatie van de gebruiker en retourneert vervolgens alle benodigde configuratie-informatie voor de client om de gebruiker de dienst te leveren. Transacties tussen de client en de RADIUS-server worden ook geverifieerd door het gebruik van een gedeeld geheim.

Als u dit beveiligingsniveau wilt gebruiken, moet u een RADIUS-server hebben in uw netwerk, of moet u een RADIUS-server implementeren.

IPSec-verificatie en -versleuteling

IPSec (Internet Protocol Security) is een protocol waarmee verificatie en gegevensversleuteling op de IP-pakketlaag worden afgedwongen. IPSec kan worden gebruikt als aanvulling op CHAP- of RADIUS-verificatie, om zodoende een extra beveiligingsniveau te bieden.

Wanneer u IPSec inschakelt, worden alle IP-pakketten die tijdens een gegevensoverdracht worden verzonden, versleuteld en geverifieerd. Er wordt voor alle IP-portals een gemeenschappelijke sleutel ingesteld, zodat alle peers elkaar kunnen verifiëren en kunnen onderhandelen over de pakketversleuteling. Zie IPSec (https://go.microsoft.com/fwlink/?LinkId=93520 (de pagina is mogelijk Engelstalig)) voor meer informatie.

Aanvullende overwegingen

  • Welk beveiligingsniveau u voor een opslagsubsysteem kunt instellen, is afhankelijk van de hardwarefabrikant. Niet alle subsystemen ondersteunen alle niveaus van iSCSI-beveiliging. Neem contact op met uw hardwarefabrikant om na te gaan welk niveau van beveiliging wordt ondersteund.

  • De veiligste CHAP-geheimen zijn geen woorden of zinnen, maar een willekeurige tekenreeks.

Aanvullende naslaginformatie