Use o Storage Explorer para definir as configurações de segurança do iSCSI que os iniciadores na sua rede SAN requerem para se conectar aos destinos e portais de destino. Há vários níveis de segurança diferentes disponíveis para iSCSI e você deve escolher aquele necessário para o destino ou portal de destino.
Importante | |
Esse recurso permite que você execute um subconjunto selecionado de tarefas relacionadas à configuração e administração do iSCSI. Você também pode executar essas e outras tarefas usando o Iniciador Microsoft iSCSI, incluído no Windows Server 2008, em Ferramentas Administrativas. Além disso, fornecedores de soluções de rede e armazenamento fornecem ferramentas semelhantes para executar tarefas de configuração e administração do iSCSI. Para obter mais informações sobre iSCSI, consulte |
O Storage Explorer oferece suporte aos seguintes níveis de segurança do iSCSI:
Autenticação CHAP
CHAP é o nível básico de segurança. O CHAP é um protocolo usado para autenticar aqueles de mesmo nível em uma conexão e é baseado naqueles de mesmo nível que compartilham um segredo (uma chave de segurança que é similar a uma senha).
Há dois tipos de autenticação CHAP:
-
Autenticação CHAP unidirecional. Com esse nível de segurança, somente o destino iSCSI autentica o iniciador. O segredo é definido apenas para o destino. Todos os iniciadores que desejam acessar o destino precisam usar o mesmo segredo para iniciar uma sessão de logon com o destino.
-
Autenticação CHAP mútua. Com esse nível de segurança, o destino e o iniciador iSCSI se autenticam. Um segredo separado é definido para cada destino e para cada iniciador na rede SAN.
Cuidado | |
No mínimo, use a autenticação CHAP unidirecional entre os iniciadores iSCSI e os destinos. |
Autenticação RADIUS
RADIUS é um padrão popular usado para manter e gerenciar a autenticação e a validação do usuário. Diferentemente do CHAP, a autenticação com RADIUS não é executada entre pares, mas entre um servidor e um cliente RADIUS. Quando um usuário (um iniciador iSCSI) deseja acessar os recursos em um cliente (um destino iSCSI), o cliente envia uma solicitação de conexão do usuário para o servidor RADIUS. O servidor RADIUS é responsável pela autenticação do usuário e pelo envio posterior de todas as informações de configuração necessárias para que o cliente forneça o serviço ao usuário. As transações entre o cliente e o servidor RADIUS também são autenticadas com o uso de um segredo compartilhado.
Para usar esse nível de segurança, é necessário ter um nível de servidor RADIUS em execução na rede ou você deve implementá-lo.
Autenticação e criptografia IPsec
IPsec é um protocolo que impõe autenticação e criptografia de dados na camada IP. O IPsec pode ser usado junto com a autenticação CHAP ou RADIUS para fornecer um nível de segurança adicional.
Quando você habilita o IPsec, todos os pacotes IPs enviados durante transferências de dados são criptografados e autenticados. Uma chave comum é definida em todos os portais IP, o que permite que todos os pares se autentiquem e negociem a criptografia de pacote. Para obter informações, consulte o texto sobre IPsec (
Considerações adicionais
-
O nível de segurança que você pode definir para um subsistema de armazenamento depende do fabricante do hardware. Nem todos os subsistemas oferecem suporte a todos os níveis de segurança do iSCSI. Contate o fabricante do hardware a fim de verificar para qual nível de segurança é oferecido suporte.
-
Os segredos CHAP não são palavras ou frases, mas uma seqüência aleatória de caracteres.
Referências Adicionais
-
Para obter informações sobre iSCSI, consulte
https://go.microsoft.com/fwlink/?LinkId=93543 . A página pode estar em inglês.
-
Logon em destinos iSCSI
-
Configurar iniciadores iSCSI
-
Gerenciando servidores
-
Storage Explorer