Menedżer magazynowania dla sieci SAN umożliwia stosowanie kilku poziomów zabezpieczeń iSCSI. Poziom podstawowy jest oparty na protokole Challenge Handshake Authentication Protocol (CHAP). Protokół CHAP służy do uwierzytelniania elementu równorzędnego podczas połączenia i jest oparty na wspólnym kluczu tajnym (kluczu zabezpieczeń podobnym do hasła) używanym przez elementy równorzędne. Protokół IP Security (IPsec) wymusza uwierzytelnianie i szyfrowanie danych w warstwie pakietów IP, co podnosi poziom zabezpieczeń.

Ważne

Ta funkcja umożliwia wybieranie i wykonywanie podzbioru zadań związanych z konfigurowaniem i administracją interfejsu iSCSI. Te i inne zadania można także wykonywać za pomocą inicjatora iSCSI firmy Microsoft, który znajduje się w folderze Narzędzia administracyjne systemu Windows Server 2008. Poza tym producenci i dostawcy rozwiązań sieciowych i magazynowych oferują podobne narzędzia do wykonywania zadań konfiguracyjnych i administracyjnych dotyczących interfejsu iSCSI. Aby uzyskać więcej informacji o protokole iSCSI, zobacz https://go.microsoft.com/fwlink/?LinkId=102299 (strona może zostać wyświetlona w języku angielskim).

Należy wybrać poziom zabezpieczeń najlepiej dopasowany do zasad zabezpieczeń w organizacji:

  • One-way CHAP authentication. Przy takim poziomie zabezpieczeń jedynie inicjator jest uwierzytelniany przez obiekt docelowy. Klucz tajny jest ustawiany tylko dla obiektu docelowego, a wszystkie inicjatory, aby uzyskać dostęp do obiektu docelowego, muszą użyć tego samego klucza tajnego na początku sesji logowania do obiektu docelowego.

  • Mutual CHAP authentication. Przy takim poziomie zabezpieczeń obiekt docelowy i inicjator uwierzytelniają się wzajemnie. Dla każdego obiektu docelowego i inicjatora w sieci SAN jest ustawiany oddzielny klucz tajny.

  • IPsec. Przy takim poziomie zabezpieczeń wszystkie przesyłane pakiety IP są szyfrowane i uwierzytelniane. Dla wszystkich portali IP jest ustawiany wspólny klucz, co umożliwia wszystkim elementom równorzędnym wzajemne uwierzytelnianie i negocjowanie szyfrowania pakietów. Aby uzyskać więcej informacji, zobacz artykuł dotyczący protokołu IPSec (https://go.microsoft.com/fwlink/?LinkId=93520) (strona może zostać wyświetlona w języku angielskim).

Przestroga

Między inicjatorami iSCSI a obiektami docelowymi należy stosować przynajmniej uwierzytelnianie jednokierunkowe w protokole CHAP.

Uwaga

Poziom zabezpieczeń, który można ustawić dla podsystemu magazynowania, zależy od producenta sprzętu. Nie wszystkie podsystemy obsługują pełny zakres poziomów zabezpieczeń iSCSI. Informacje na temat obsługiwanych poziomów zabezpieczeń można uzyskać u producenta sprzętu.

Aby uzyskać więcej informacji na temat interfejsu iSCSI, zobacz https://go.microsoft.com/fwlink/?LinkId=93543 (strona może zostać wyświetlona w języku angielskim).

Do wykonania tej procedury wymagana jest przynależność użytkownika do lokalnej grupy Administratorzy lub do grupy jej równoważnej. Szczegółowe informacje na temat używania odpowiednich kont i członkostw w grupach można znaleźć na stronie https://go.microsoft.com/fwlink/?LinkId=83477.

Aby zarządzać zabezpieczeniami iSCSI
  1. W drzewie konsoli kliknij węzeł Zarządzanie jednostkami LUN.

  2. W okienku Akcje kliknij pozycję Zarządzaj zabezpieczeniami iSCSI.

  3. Aby skonfigurować uwierzytelnianie jednokierunkowe w protokole CHAP, w oknie dialogowym Zarządzanie zabezpieczeniami iSCSI skonfiguruj następujące ustawienia na karcie Obiekty docelowe:

    1. Aby skonfigurować różne klucze tajne protokołu CHAP dla poszczególnych obiektów docelowych, z listy obiektów docelowych wybierz obiekt, dla którego chcesz ustawić klucz tajny, a następnie kliknij przycisk Ustaw klucz tajny.

      - lub -

      Aby użyć takiego samego klucza tajnego protokołu CHAP dla grupy obiektów docelowych, wybierz obiekty docelowe z listy i kliknij przycisk Ustaw klucz tajny.

    2. W oknie dialogowym Ustawianie klucza tajnego wpisz i potwierdź klucz tajny protokołu CHAP dla obiektu docelowego.

    3. Opcjonalnie zaznacz pole wyboru Zapamiętaj klucz tajny inicjatora lokalnego, jeśli nowy klucz tajny ma być automatycznie przekazywany do inicjatora lokalnego.

    4. Aby ustawić nowy klucz tajny, kliknij przycisk OK.

  4. Aby skonfigurować uwierzytelnianie wzajemne w protokole CHAP, najpierw skonfiguruj uwierzytelnianie jednokierunkowe w protokole CHAP zgodnie z opisem w kroku 3, po czym na karcie Inicjator lokalny wprowadź następujące ustawienia konfiguracyjne:

    1. Wpisz i potwierdź klucz tajny protokołu CHAP dla inicjatora lokalnego.

    2. Przy uwierzytelnianiu obustronnym w protokole CHAP inicjator może się zalogować tylko do tych obiektów docelowych, które znają klucz tajny inicjatora. Aby udostępnić klucz tajny inicjatora obiektom docelowym, do których serwer musi uzyskiwać dostęp, na liście obiektów docelowych zaznacz wszystkie obiekty, które będą uwierzytelniane w inicjatorze.

    3. Aby ustawić nowy klucz tajny dla inicjatora lokalnego i udostępnić go wybranym obiektom docelowym, kliknij przycisk Zastosuj klucz tajny.

  5. Aby skonfigurować protokół IPsec, na karcie Portale okna dialogowego Zarządzanie zabezpieczeniami iSCSI skonfiguruj następujące ustawienia:

    1. Aby używać różnych kluczy IPsec dla poszczególnych portali, zaznacz portal na liście portali, a następnie kliknij przycisk Ustaw klucz IPsec.

      - lub -

      Aby użyć takiego samego klucza IPsec dla grupy portali, wybierz portale z listy i kliknij przycisk Ustaw klucz IPsec.

    2. W oknie dialogowym Ustawianie klucza IPsec wpisz i potwierdź nowy klucz IPsec.

    3. Opcjonalnie zaznacz pole wyboru Zapamiętaj klucz IPsec inicjatora lokalnego, jeśli nowy klucz ma być automatycznie przekazywany do inicjatora lokalnego.

    4. Aby ustawić nowy klucz IPsec, kliknij przycisk OK.

  6. Po zakończeniu konfigurowania zabezpieczeń iSCSI kliknij przycisk Zamknij.