С помощью проводника хранилищ можно выполнять настройку параметров безопасности iSCSI, необходимых инициаторам в сети хранения данных (SAN) для подключения к конечным объектам и конечным порталам. Из нескольких доступных для iSCSI уровней безопасности необходимо выбрать требуемые конечным объектом или конечным порталом.
Важно! | |
Этот компонент позволяет выполнять набор задач по настройке и администрированию iSCSI. Эти и другие задачи также можно выполнять с помощью инициатора Майкрософт iSCSI, который входит в группу программ «Администрирование» операционной системы Windows Server 2008 или более поздней версии. Кроме того, подобные средства настройки и администрирования iSCSI предлагают поставщики сетевых решений и хранилищ. Дополнительные сведения об iSCSI см. по адресу http://go.microsoft.com/fwlink/?LinkId=102299. |
Проводник хранилищ поддерживает следующие уровни безопасности iSCSI:
Проверка подлинности CHAP
Основным уровнем безопасности является протокол CHAP (Challenge Handshake Authentication Protocol). CHAP - это протокол, используемый для проверки подлинности партнера по подключению. Основан на совместном использовании сторонами подключения секрета (ключа безопасности, аналогичного паролю).
Существует два типа проверки подлинности CHAP:
- One-way CHAP authentication. На этом
уровне безопасности подлинность инициатора проверяется только
конечным объектом iSCSI. Секрет устанавливается только для
конечного объекта. Все инициаторы, которым необходимо получить
доступ к конечному объекту, должны использовать для сеанса входа на
конечный объект этот же секрет.
- Mutual CHAP authentication. На этом
уровне безопасности конечный объект iSCSI и инициатор проверяют
подлинность друг друга. Для каждого инициатора и конечного объекта
в сети SAN определяется отдельный секрет.
Внимание! | |
Между инициаторами и конечными объектами iSCSI необходимо использовать, как минимум, одностороннюю проверку подлинности CHAP. |
Проверка подлинности RADIUS
Служба RADIUS (Remote Authentication Dial-In User Service) - стандарт, применяемый для отслеживания проверки подлинности пользователей и других операций проверки и управления ими. В отличие от CHAP, проверка подлинности RADIUS выполняется не между одноранговыми узлами, а между сервером и клиентом RADIUS. Если пользователю (инициатору iSCSI) требуется доступ к ресурсам клиента (конечного объекта iSCSI), клиент отправляет запрос пользователя на подключение на сервер RADIUS. Сервер RADIUS отвечает за проверку подлинности пользователя и последующий возврат всех сведений о конфигурации, необходимых клиенту для обслуживания пользователя. Транзакции между клиентом и сервером RADIUS также проходят проверку подлинности с использованием общего секрета.
Для использования этого уровня безопасности в сети должен быть работающий сервер RADIUS (либо необходимо развернуть такой сервер).
Проверка подлинности и шифрование IPsec
Безопасность протокола IP (IPsec) - это протокол, выполняющий принудительную проверку подлинности и шифрование данных на уровне IP-пакетов. IPsec можно использовать наряду с проверкой подлинности CHAP или RADIUS, чтобы обеспечить дополнительный уровень безопасности.
При включении IPsec все IP-пакеты, отправляемые во время передачи данных, шифруются и проверяются на подлинность. На всех IP-порталах устанавливается общий ключ, который позволяет всем сторонам проверять подлинность друг друга и согласовывать шифрование пакетов. Дополнительные сведения об IPsec см. по адресу http://go.microsoft.com/fwlink/?linkid=93520.
Дополнительная информация
- Уровень безопасности, который можно
установить для подсистемы хранилища, зависит от производителя
оборудования. Не все подсистемы поддерживают все уровни
безопасности iSCSI. Чтобы проверить поддерживаемые уровни
безопасности, обратитесь к производителю оборудования.
- Наиболее безопасные секреты CHAP представляют
собой не слова или фразы, а случайную последовательность
символов.
Дополнительные источники информации
- Дополнительные сведения об iSCSI см. по
адресу http://go.microsoft.com/fwlink/?LinkId=93543.
- Выполнение входа на
конечные объекты iSCSI
- Настройка инициаторов
iSCSI
- Управление
серверами
- Проводник
хранилищ