使用 SAN 存储管理器有几种可用的 iSCSI 安全级别。基本级别是基于质询握手身份验证协议 (CHAP)。CHAP 是一个用于对连接对等方进行身份验证的协议,它基于共享机密(与密码相似的一种安全密钥)的对等方。IP 安全 (IPsec) 是一种在 IP 数据包层强制身份验证和数据加密的协议,它提供增加的安全级别。
重要 | |
使用此功能,可以执行与 iSCSI 配置和管理相关的所选任务子集。您还可以使用 Microsoft iSCSI 发起程序(包含在 Windows Server 2008 的“管理工具”中)执行这些任务和其他任务。另外,网络和存储解决方案供应商也提供类似的工具来执行 iSCSI 配置和管理任务。有关 iSCSI 的详细信息,请参阅 |
您必须选择最适合组织的安全策略的安全级别。
-
One-way CHAP authentication。使用此安全级别,仅目标对发起程序进行身份验证。机密仅是为目标设置的,希望访问该目标的所有发起程序都需要使用相同的机密来启动与该目标之间的登录会话。
-
Mutual CHAP authentication。使用此安全级别,目标和发起程序会彼此进行身份验证。系统会在存储区域网络 (SAN) 中为每个目标和每个发起程序设置一个单独的机密。
-
IPsec。使用此安全级别,对数据传输过程中发送的所有 IP 数据包进行加密和身份验证。系统会在所有 IP 门户上设置一个通用密钥,使所有对等方可以彼此进行身份验证并协商数据包加密。有关详细信息,请参阅位于
https://go.microsoft.com/fwlink/?linkid=93520 (可能为英文网页)的 IPsec。
小心 | |
至少应在 iSCSI 发起程序和目标之间使用单向 CHAP 身份验证。 |
注意 | |
可为某个存储子系统设置何种安全级别,取决于硬件制造商。并非所有子系统都支持所有的 iSCSI 安全级别。建议您与硬件制造商联系,确认其产品支持哪种安全级别。 |
有关 iSCSI 的详细信息,请访问
本地 Administrators 组中的成员身份或同等身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问
管理 iSCSI 安全 |
在控制台树中,单击“LUN 管理”。
在“操作”窗格中,单击“管理 iSCSI 安全”。
若要配置单向 CHAP 验证,请在“管理 iSCSI 安全”对话框中,配置“目标”选项卡上的下列设置:
-
如果要为不同的目标配置不同的 CHAP 机密,请在目标列表中,选择要为其设置 CHAP 机密的目标,然后单击“设置机密”。
-或者-
若要为一组目标使用相同的 CHAP 机密,请从列表中选择目标,然后单击“设置机密”。
-
在“设置机密”对话框中,键入并确认目标 CHAP 机密。
-
或者,如果要自动将新的机密传送给本地发起程序,可以选择“记住本地发起程序的机密”。
-
若要设置新的机密,请单击“确定”。
-
如果要为不同的目标配置不同的 CHAP 机密,请在目标列表中,选择要为其设置 CHAP 机密的目标,然后单击“设置机密”。
若要配置 CHAP 相互验证,必须按步骤 3 首先配置单向 CHAP 验证。然后,在“本地发起程序”选项卡上输入下列配置:
-
键入并确认本地发起程序的 CHAP 机密。
-
在 CHAP 相互验证下,发起程序将仅能够登录到知道发起程序机密的目标。若要与服务器需要访问的目标共享发起程序机密,请在目标列表中,选择要在发起程序上进行身份验证的每个目标。
-
若要为本地发起程序设置新的机密并与所选的目标共享该机密,请单击“应用机密”。
-
键入并确认本地发起程序的 CHAP 机密。
若要配置 IPsec,请在“管理 iSCSI 安全”对话框中,配置“门户”选项卡上的下列设置:
-
如果要为不同的门户使用不同的 IPsec 密钥,请在门户列表中,选择一个门户,然后单击“设置 IPsec 密钥”。
-或者-
若要为一组门户使用相同的 IPsec 密钥,请从列表中选择门户,然后单击“设置 IPsec 密钥”。
-
在“设置 IPsec 密钥”对话框中,键入并确认新的 IPsec 密钥。
-
或者,如果要自动将新的密钥传送给本地发起程序,可以选择“记住本地发起程序的 IPsec 密钥”。
-
若要设置新的 IPsec 密钥,请单击“确定”。
-
如果要为不同的门户使用不同的 IPsec 密钥,请在门户列表中,选择一个门户,然后单击“设置 IPsec 密钥”。
完成 iSCSI 安全性的配置后,请单击“关闭”。