Lagringshanteraren för SAN erbjuder flera nivåer av iSCSI-säkerhet. Den grundläggande nivån baseras på CHAP (Challenge Handshake Authentication Protocol). CHAP är ett protokoll som används för att autentisera peer-datorn i en anslutning och baseras på peer-datorer som delar en hemlighet (en säkerhetsnyckel som påminner om ett lösenord). IPsec (IP security) är ett protokoll som upprätthåller autentiseringen och datakrypteringen på IP-paketnivå, vilket ger ytterligare en säkerhetsnivå.

Viktigt!

Med den här funktionen kan du utföra en del av de uppgifter som har med konfiguration och administration av iSCSI att göra. Du kan även utföra de här uppgifterna och andra uppgifter med Microsoft iSCSI Initiator, som finns med i Windows Server 2008 i Administrationsverktyg. Dessutom finns det andra liknande verktyg för konfigurering och administration av iSCSI från leverantörer av nätverks- och lagringslösningar. Mer information om iSCSI finns på https://go.microsoft.com/fwlink/?LinkId=102299 (sidan kan vara på engelska).

Du måste välja den säkerhetsnivå som bäst passar organisationens säkerhetsprinciper:

  • One-way CHAP authentication. På den här säkerhetsnivån är det bara målet som autentiserar initieraren. Hemligheten anges bara för det målet. Alla initierare som vill kunna komma åt det målet måste använda samma hemlighet för att kunna starta en inloggningssession med målet.

  • Mutual CHAP authentication. På den här säkerhetsnivån autentiserar målet och initieraren varandra. En särskild hemlighet anges för varje mål och för varje initierare i SAN.

  • IPsec. På den här säkerhetsnivån krypteras och autentiseras alla IP-paket som skickas under dataöverföring. En gemensam nyckel anges på alla IP-portaler, vilket gör att alla peer-datorer kan autentisera varandra och förhandla paketkryptering. Mer information om IPsec finns på https://go.microsoft.com/fwlink/?linkid=93520 (sidan kan vara på engelska).

Varning

Använd minst enkelriktad CHAP-autentisering mellan iSCSI-initierare och mål.

OBS

Vilken säkerhetsnivå du kan välja för ett underlagringssystem bestäms av maskinvarutillverkaren. Alla nivåer av iSCSI-säkerhet stöds inte av alla undersystem. Kontakta maskinvarutillverkaren för att få veta vilken säkerhetsnivå som stöds.

Mer information om iSCSI finns i https://go.microsoft.com/fwlink/?LinkId=93543 (sidan kan vara på engelska).

Medlemskap i den lokala gruppen Administratörer eller liknande är minimikravet för att kunna slutföra den här proceduren. Studera närmare information om hur du använder lämpliga konton och gruppmedlemskap på https://go.microsoft.com/fwlink/?LinkId=83477.

Så här hanterar du iSCSI-säkerhet

  1. Klicka på LUN-hantering i konsolträdet.

  2. Klicka på Hantera iSCSI-säkerhet i fönstret Åtgärder.

  3. Om du vill konfigurera enkelriktad CHAP-autentisering, konfigurerar du följande inställningar på fliken Mål i dialogrutan Hantera iSCSI-säkerhet:

    1. Om du vill konfigurera olika CHAP-hemligheter för olika mål, väljer du ett mål som du vill ange en CHAP-hemlighet för och klickar på Ange hemlighet.

      -eller-

      Om du vill använda samma CHAP-hemlighet för en grupp med mål, väljer du målen från listan och klickar på Ange hemlighet.

    2. Skriv och bekräfta målets CHAP-hemlighet i dialogrutan Ange hemlighet.

    3. Du kan också välja Kom ihåg hemlighet på lokal initierare om du vill att hemligheten ska förmedlas automatiskt till den lokala initieraren.

    4. Klicka på OK för att välja den nya hemligheten.

  4. För att konfigurera gemensam CHAP-autentisering måste du först konfigurera enkelriktad CHAP-autentisering genom att följa steg 3. Ange sedan följande konfiguration på fliken Lokal initierare:

    1. Skriv och bekräfta CHAP-hemligheten för den lokala initieraren.

    2. Vid ömsesidig CHAP-autentisering kan initieraren bara logga in på mål som känner till initierarhemligheten. Om du vill att initierarehemligheten ska delas med målen som servern måste kunna komma åt, väljer du från listan över mål alla de mål som du vill autentisera på initieraren.

    3. Om du vill ställa in den nya hemligheten för den lokala initieraren och dela den med valda mål, klickar du på Använd hemlighet.

  5. Om du vill konfigurera IPsec, konfigurerar du följande inställningar på fliken Portaler i dialogrutan Hantera iSCSI-säkerhet:

    1. Om du vill använda olika IPsec-nycklar för olika portaler, väljer du en portal från listan över portaler och klickar på Ange IPsec-nyckel.

      -eller-

      Om du vill använda samma IPsec-nyckel för en grupp med portaler, väljer du portalerna från listan och klickar på Ange IPsec-nyckel.

    2. Ange och bekräfta en ny IPsec-nyckel i dialogrutan Ange IPsec-nyckel.

    3. Du kan också välja Kom ihåg IPsec-nyckel på lokal initierare om du vill att nyckeln ska förmedlas automatiskt till den lokala initieraren.

    4. Klicka på OK för att välja den nya IPsec-nyckeln.

  6. När du har konfigurerat iSCSI-säkerheten, klickar du på Stäng.

Ytterligare referenser

Innehåll