С помощью проводника хранилищ можно выполнять настройку параметров безопасности iSCSI, необходимых инициаторам в сети хранения данных (SAN) для подключения к конечным объектам и конечным порталам. Из нескольких доступных для iSCSI уровней безопасности необходимо выбрать требуемые конечным объектом или конечным порталом.
Важно! | |
Этот компонент позволяет выполнять набор задач по настройке и администрированию iSCSI. Эти и другие задачи также можно выполнять с помощью инициатора Майкрософт iSCSI, который входит в группу программ «Администрирование» операционной системы Windows Server 2008 или более поздней версии. Кроме того, подобные средства настройки и администрирования iSCSI предлагают поставщики сетевых решений и хранилищ. Дополнительные сведения об iSCSI см. по адресу |
Проводник хранилищ поддерживает следующие уровни безопасности iSCSI:
Проверка подлинности CHAP
Основным уровнем безопасности является протокол CHAP (Challenge Handshake Authentication Protocol). CHAP - это протокол, используемый для проверки подлинности партнера по подключению. Основан на совместном использовании сторонами подключения секрета (ключа безопасности, аналогичного паролю).
Существует два типа проверки подлинности CHAP:
-
One-way CHAP authentication. На этом уровне безопасности подлинность инициатора проверяется только конечным объектом iSCSI. Секрет устанавливается только для конечного объекта. Все инициаторы, которым необходимо получить доступ к конечному объекту, должны использовать для сеанса входа на конечный объект этот же секрет.
-
Mutual CHAP authentication. На этом уровне безопасности конечный объект iSCSI и инициатор проверяют подлинность друг друга. Для каждого инициатора и конечного объекта в сети SAN определяется отдельный секрет.
Внимание! | |
Между инициаторами и конечными объектами iSCSI необходимо использовать, как минимум, одностороннюю проверку подлинности CHAP. |
Проверка подлинности RADIUS
Служба RADIUS (Remote Authentication Dial-In User Service) - стандарт, применяемый для отслеживания проверки подлинности пользователей и других операций проверки и управления ими. В отличие от CHAP, проверка подлинности RADIUS выполняется не между одноранговыми узлами, а между сервером и клиентом RADIUS. Если пользователю (инициатору iSCSI) требуется доступ к ресурсам клиента (конечного объекта iSCSI), клиент отправляет запрос пользователя на подключение на сервер RADIUS. Сервер RADIUS отвечает за проверку подлинности пользователя и последующий возврат всех сведений о конфигурации, необходимых клиенту для обслуживания пользователя. Транзакции между клиентом и сервером RADIUS также проходят проверку подлинности с использованием общего секрета.
Для использования этого уровня безопасности в сети должен быть работающий сервер RADIUS (либо необходимо развернуть такой сервер).
Проверка подлинности и шифрование IPsec
Безопасность протокола IP (IPsec) - это протокол, выполняющий принудительную проверку подлинности и шифрование данных на уровне IP-пакетов. IPsec можно использовать наряду с проверкой подлинности CHAP или RADIUS, чтобы обеспечить дополнительный уровень безопасности.
При включении IPsec все IP-пакеты, отправляемые во время передачи данных, шифруются и проверяются на подлинность. На всех IP-порталах устанавливается общий ключ, который позволяет всем сторонам проверять подлинность друг друга и согласовывать шифрование пакетов. Дополнительные сведения об IPsec см. по адресу
Дополнительная информация
-
Уровень безопасности, который можно установить для подсистемы хранилища, зависит от производителя оборудования. Не все подсистемы поддерживают все уровни безопасности iSCSI. Чтобы проверить поддерживаемые уровни безопасности, обратитесь к производителю оборудования.
-
Наиболее безопасные секреты CHAP представляют собой не слова или фразы, а случайную последовательность символов.
Дополнительные источники информации
-
Дополнительные сведения об iSCSI см. по адресу
https://go.microsoft.com/fwlink/?LinkId=93543 .
-
Выполнение входа на конечные объекты iSCSI
-
Настройка инициаторов iSCSI
-
Управление серверами
-
Проводник хранилищ