Диспетчер хранилища для сетей SAN обеспечивает несколько уровней безопасности iSCSI. Основной уровень базируется на протоколе проверки подлинности CHAP. CHAP - это протокол, используемый для проверки подлинности партнера по подключению. Он основан на использовании участниками подключения общего секрета (ключа безопасности, аналогичного паролю). IP-безопасность (IPsec) - это протокол, включающий проверку подлинности и шифрование данных на уровне IP-пакетов, что обеспечивает дополнительный уровень безопасности.
Важно! | |
Этот компонент позволяет выполнять набор задач по настройке и администрированию iSCSI. Эти и другие задачи также можно выполнять с помощью инициатора Майкрософт iSCSI, который входит в группу программ «Администрирование» Windows Server 2008. Кроме того, подобные средства настройки и администрирования iSCSI предлагают поставщики сетевых решений и хранилищ. Дополнительные сведения об iSCSI см. по адресу http://go.microsoft.com/fwlink/?LinkId=102299. |
Необходимо выбрать уровень безопасности, который лучше всего соответствует политикам безопасности вашей организации.
- One-way CHAP authentication. На этом
уровне безопасности подлинность инициатора проверяется только
конечным объектом. Секрет устанавливается только для цели, а все
инициаторы, которым нужно получить к ней доступ, для установления
сеанса входа в цель должны использовать одинаковый секрет.
- Mutual CHAP authentication. На этом
уровне безопасности и конечный объект, и инициатор проверяют
подлинность друг друга. Для каждого инициатора и цели в сети SAN
устанавливается отдельный секрет.
- IPsec. На этом уровне безопасности все
IP-пакеты, отправляемые во время передачи данных, шифруются и
проверяются на подлинность. На всех IP-порталах устанавливается
общий ключ, что позволяет всем участникам проверять подлинность
друг друга и согласовывать шифрование пакетов. Дополнительные
сведения об IPsec см. по адресу http://go.microsoft.com/fwlink/?linkid=93520.
Внимание! | |
Между инициаторами и целями iSCSI необходимо использовать, как минимум, одностороннюю проверку подлинности CHAP. |
Примечание | |
Уровень безопасности, который можно установить для подсистемы хранения, зависит от производителя оборудования. Не все подсистемы поддерживают все уровни безопасности iSCSI. Чтобы проверить поддерживаемые уровни безопасности, обратитесь к производителю оборудования. |
Дополнительные сведения о iSCSI см. на странице http://go.microsoft.com/fwlink/?LinkId=93543.
Членство в локальной группе "Администраторы" (или аналогичной) является минимальным необходимым условием для выполнения этой процедуры. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице http://go.microsoft.com/fwlink/?LinkId=83477.
Чтобы управлять безопасностью iSCSI |
-
В дереве консоли разверните узел Управление LUN.
-
В области Действия нажмите Управление безопасностью iSCSI.
-
Чтобы настроить одностороннюю проверку подлинности CHAP, в диалоговом окне Управление безопасностью iSCSI на вкладке Целевые папки задайте следующие параметры.
- Если для разных целей необходимо задать разные секреты CHAP,
выберите в списке нужную цель и нажмите кнопку Установить
секрет.
-или-
Чтобы использовать один секрет CHAP для группы целей, выберите цели из списка и нажмите кнопку Установить секрет.
- В диалоговом окне Установить секрет введите и
подтвердите секрет CHAP для цели.
- Можно выбрать команду Запомнить секрет на локальном
инициаторе, если нужно автоматически передавать новый секрет
локальному инициатору.
- Чтобы задать новый секрет, нажмите кнопку ОК.
- Если для разных целей необходимо задать разные секреты CHAP,
выберите в списке нужную цель и нажмите кнопку Установить
секрет.
-
Чтобы настроить взаимную проверку подлинности CHAP, сначала необходимо настроить одностороннюю проверку подлинности CHAP, выполнив шаг 3. Затем выполните следующие действия на вкладке Локальный инициатор.
- Введите и подтвердите секрет CHAP для локального
инициатора.
- При взаимной проверке подлинности CHAP инициатор сможет
подключаться только к тем целям, которым известен секрет
инициатора. Чтобы предоставить секрет инициатора целям, к которым
должен иметь доступ сервер, выберите в списке целей все цели,
подлинность которых должна подтверждаться на инициаторе.
- Чтобы определить новый секрет для локального инициатора и
предоставить его выбранным целям, нажмите Применить
секрет.
- Введите и подтвердите секрет CHAP для локального
инициатора.
-
Чтобы настроить IP-безопасность (IPsec), в диалоговом окне Управление безопасностью iSCSI на вкладке Порталы задайте следующие параметры.
- Если необходимо использовать разные ключи IPsec для разных
порталов, выберите в списке порталов нужный портал и нажмите
Установить ключ IPsec.
-или-
Чтобы использовать один ключ IPsec для группы порталов, выберите эти порталы в списке и нажмите Установить ключ IPsec.
- В диалоговом окне Установить ключ IPsec введите и
подтвердите новый ключ IPsec.
- Можно выбрать команду Запомнить ключ IPsec на локальном
инициаторе, если нужно автоматически передавать новый ключ
локальному инициатору.
- Чтобы задать новый ключ IPsec, нажмите кнопку ОК.
- Если необходимо использовать разные ключи IPsec для разных
порталов, выберите в списке порталов нужный портал и нажмите
Установить ключ IPsec.
-
После завершения настройки безопасности iSCSI нажмите кнопку Закрыть.