Диспетчер хранилища для сетей SAN обеспечивает несколько уровней безопасности iSCSI. Основной уровень базируется на протоколе проверки подлинности CHAP. CHAP - это протокол, используемый для проверки подлинности партнера по подключению. Он основан на использовании участниками подключения общего секрета (ключа безопасности, аналогичного паролю). IP-безопасность (IPsec) - это протокол, включающий проверку подлинности и шифрование данных на уровне IP-пакетов, что обеспечивает дополнительный уровень безопасности.

Важно!

Этот компонент позволяет выполнять набор задач по настройке и администрированию iSCSI. Эти и другие задачи также можно выполнять с помощью инициатора Майкрософт iSCSI, который входит в группу программ «Администрирование» Windows Server 2008. Кроме того, подобные средства настройки и администрирования iSCSI предлагают поставщики сетевых решений и хранилищ. Дополнительные сведения об iSCSI см. по адресу https://go.microsoft.com/fwlink/?LinkId=102299.

Необходимо выбрать уровень безопасности, который лучше всего соответствует политикам безопасности вашей организации.

  • One-way CHAP authentication. На этом уровне безопасности подлинность инициатора проверяется только конечным объектом. Секрет устанавливается только для цели, а все инициаторы, которым нужно получить к ней доступ, для установления сеанса входа в цель должны использовать одинаковый секрет.

  • Mutual CHAP authentication. На этом уровне безопасности и конечный объект, и инициатор проверяют подлинность друг друга. Для каждого инициатора и цели в сети SAN устанавливается отдельный секрет.

  • IPsec. На этом уровне безопасности все IP-пакеты, отправляемые во время передачи данных, шифруются и проверяются на подлинность. На всех IP-порталах устанавливается общий ключ, что позволяет всем участникам проверять подлинность друг друга и согласовывать шифрование пакетов. Дополнительные сведения об IPsec см. по адресу https://go.microsoft.com/fwlink/?linkid=93520.

Внимание!

Между инициаторами и целями iSCSI необходимо использовать, как минимум, одностороннюю проверку подлинности CHAP.

Примечание

Уровень безопасности, который можно установить для подсистемы хранения, зависит от производителя оборудования. Не все подсистемы поддерживают все уровни безопасности iSCSI. Чтобы проверить поддерживаемые уровни безопасности, обратитесь к производителю оборудования.

Дополнительные сведения о iSCSI см. на странице https://go.microsoft.com/fwlink/?LinkId=93543.

Членство в локальной группе "Администраторы" (или аналогичной) является минимальным необходимым условием для выполнения этой процедуры. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477.

Чтобы управлять безопасностью iSCSI

  1. В дереве консоли разверните узел Управление LUN.

  2. В области Действия нажмите Управление безопасностью iSCSI.

  3. Чтобы настроить одностороннюю проверку подлинности CHAP, в диалоговом окне Управление безопасностью iSCSI на вкладке Целевые папки задайте следующие параметры.

    1. Если для разных целей необходимо задать разные секреты CHAP, выберите в списке нужную цель и нажмите кнопку Установить секрет.

      -или-

      Чтобы использовать один секрет CHAP для группы целей, выберите цели из списка и нажмите кнопку Установить секрет.

    2. В диалоговом окне Установить секрет введите и подтвердите секрет CHAP для цели.

    3. Можно выбрать команду Запомнить секрет на локальном инициаторе, если нужно автоматически передавать новый секрет локальному инициатору.

    4. Чтобы задать новый секрет, нажмите кнопку ОК.

  4. Чтобы настроить взаимную проверку подлинности CHAP, сначала необходимо настроить одностороннюю проверку подлинности CHAP, выполнив шаг 3. Затем выполните следующие действия на вкладке Локальный инициатор.

    1. Введите и подтвердите секрет CHAP для локального инициатора.

    2. При взаимной проверке подлинности CHAP инициатор сможет подключаться только к тем целям, которым известен секрет инициатора. Чтобы предоставить секрет инициатора целям, к которым должен иметь доступ сервер, выберите в списке целей все цели, подлинность которых должна подтверждаться на инициаторе.

    3. Чтобы определить новый секрет для локального инициатора и предоставить его выбранным целям, нажмите Применить секрет.

  5. Чтобы настроить IP-безопасность (IPsec), в диалоговом окне Управление безопасностью iSCSI на вкладке Порталы задайте следующие параметры.

    1. Если необходимо использовать разные ключи IPsec для разных порталов, выберите в списке порталов нужный портал и нажмите Установить ключ IPsec.

      -или-

      Чтобы использовать один ключ IPsec для группы порталов, выберите эти порталы в списке и нажмите Установить ключ IPsec.

    2. В диалоговом окне Установить ключ IPsec введите и подтвердите новый ключ IPsec.

    3. Можно выбрать команду Запомнить ключ IPsec на локальном инициаторе, если нужно автоматически передавать новый ключ локальному инициатору.

    4. Чтобы задать новый ключ IPsec, нажмите кнопку ОК.

  6. После завершения настройки безопасности iSCSI нажмите кнопку Закрыть.

Дополнительные ссылки

Содержание