Há vários níveis de segurança do iSCSI disponíveis com o Gerenciador de Armazenamento para Redes SAN. O nível básico é baseado no CHAP. O CHAP é um protocolo usado para autenticar aqueles ponto a ponto em uma conexão e é baseado naqueles ponto a ponto que compartilham um segredo (uma chave de segurança que é similar a uma senha). Segurança IP (IPSec) é um protocolo que aplica autenticação e criptografia de dados na camada do pacote IP, oferecendo um nível de segurança adicional.
Importante | |
Esse recurso permite selecionar um subconjunto de tarefas relacionadas à configuração e administração do iSCSI. Você também pode executar essas e outras tarefas usando o Iniciador Microsoft iSCSI, que está incluído no Windows Server 2008 nas Ferramentas Administrativas. Além disso, os fornecedores de soluções de rede e armazenamento fornecem ferramentas semelhantes para executar tarefas de configuração e administração do iSCSI. Para obter mais informações sobre o iSCSI, consulte |
Escolha o nível de segurança mais adequado possível às diretivas da sua organização:
-
One-way CHAP authentication. Com este nível de segurança, somente o destino autentica o iniciador. O segredo é definido apenas para o destino e todos os iniciadores que desejam acessar o destino precisam usar o mesmo segredo para iniciar uma sessão de logon com o destino.
-
Mutual CHAP authentication. Com este nível de segurança, o destino e o iniciador se autenticam. Um segredo separado é definido para cada destino e para cada iniciador na rede SAN.
-
IPsec. Com esse nível de segurança, todos os pacotes IP enviados durante transferências de dados são criptografados e autenticados. Uma chave comum é definida em todos os portais IP, permitindo que todos aqueles ponto a ponto se autentiquem e negociem a criptografia de pacotes. Para obter informações, consulte o texto sobre IPsec (
https://go.microsoft.com/fwlink/?linkid=93520 [a página pode estar em inglês] ).
Cuidado | |
No mínimo, use a autenticação CHAP unidirecional entre os iniciadores iSCSI e os destinos. |
Observação | |
O nível de segurança que você pode definir para um subsistema de armazenamento depende do fabricante do hardware. Nem todos os subsistemas oferecem suporte a todos os níveis de segurança do iSCSI. Contate o fabricante do hardware a fim de verificar para qual nível de segurança é oferecido suporte. |
Para obter informações sobre iSCSI, consulte
A associação no grupo local Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento. Revise os detalhes sobre o uso de contas e associações a grupos apropriadas em
Para gerenciar a segurança do iSCSI |
Na árvore de console, clique em Gerenciamento de LUN.
No painel Ações, clique em Gerenciar Segurança do iSCSI.
Para configurar a autenticação CHAP unidirecional, na caixa de diálogo Gerenciar Segurança do iSCSI, defina as seguintes configurações na guia Destinos:
-
Se você deseja configurar segredos de CHAP diferentes para destinos diferentes, na lista de destinos, selecione um destino para o qual deseja definir o segredo de CHAP e clique em Definir Segredo.
Ou
Para usar o mesmo segredo de CHAP para um grupo de destinos, selecione os destinos na lista e clique em Definir Segredo.
-
Na caixa de diálogo Definir Segredo, digite e confirme o segredo de CHAP do destino.
-
Opcionalmente, selecione Lembrar segredo no iniciador local se você deseja passar o novo segredo para o iniciador local automaticamente.
-
Para definir o novo segredo, clique em OK.
-
Se você deseja configurar segredos de CHAP diferentes para destinos diferentes, na lista de destinos, selecione um destino para o qual deseja definir o segredo de CHAP e clique em Definir Segredo.
Para configurar a autenticação CHAP mútua, configure primeiro a autenticação CHAP unidirecional seguindo a etapa 3. Em seguida, digite esta configuração na guia Iniciador Local:
-
Digite e confirme o segredo de CHAP para o iniciador local.
-
Na autenticação CHAP mútua, o iniciador só poderá fazer logon nos destinos que conhecem o seu segredo. Para compartilhar o segredo do iniciador com os destinos que o servidor precisa acessar, na lista de destinos, selecione cada destino que deseja autenticar no iniciador.
-
Para definir o novo segredo do iniciador local e para compartilhá-lo com os destinos selecionados, clique em Aplicar Segredo.
-
Digite e confirme o segredo de CHAP para o iniciador local.
Para configurar o IPsec, na caixa de diálogo Gerenciar Segurança do iSCSI, defina as seguintes configurações na guia Portais:
-
Se você deseja usar chaves IPsec diferentes para portais diferentes, na lista de portais, selecione um portal e clique em Definir Chave IPsec.
-Ou-
Para usar a mesma chave IPsec para um grupo de portais, selecione os portais na lista e clique em Definir Chave IPsec.
-
Na caixa de diálogo Definir Chave IPsec, digite e confirme uma nova chave IPsec.
-
Opcionalmente, selecione Lembrar chave IPsec no iniciador local se você deseja passar o nova chave para o iniciador local automaticamente.
-
Para definir a nova chave IPsec, clique em OK.
-
Se você deseja usar chaves IPsec diferentes para portais diferentes, na lista de portais, selecione um portal e clique em Definir Chave IPsec.
Quando você terminar de configurar a segurança do iSCSI, clique em Fechar.