Программная цель Microsoft iSCSI поддерживает и шифрование, и проверку подлинности для обеспечения безопасности данных, передаваемых между Инициатор iSCSI и Цель iSCSI.

IPsec

Шифрование данных в Программная цель iSCSI выполняется с помощью протокола IPsec. Протокол IPsec применяет шифрование данных и проверку подлинности на уровне пакетов IP, чтобы гарантировать конфиденциальность, целостность и подлинность данных, передаваемых между инициатором Инициатор iSCSI и целью Цель iSCSI. Стек Windows® TCP/IP включает протокол IPsec и предлагает несколько методов шифрования, таких как Kerberos, центр сертификации (ЦС) и предварительные ключи. Программная цель iSCSI использует стек Windows TCP/IP, используя преимущества встроенной реализации протокола IPsec и модели управления Windows Server 2003. Протокол IPsec настраивается с помощью оснастки локальной политики безопасности или групповой политики на каждом инициаторе Инициатор iSCSI и цели Цель iSCSI. Дополнительные параметры конфигурации протокола IPsec предоставляются в программном инициаторе iSCSI (Майкрософт), но в инициаторе Программная цель iSCSI настройка не проводится. Дополнительные сведения о настройке протокола IPsec в инициаторе iSCSI см. в документации производителя инициатора iSCSI.

Дополнительные сведения о протоколе IPsec см. в разделе Технический справочник по IPSec.

Проверка подлинности CHAP и проверка подлинности обратного CHAP

Имеется несколько уровней безопасности iSCSI. Основной уровень основан на протоколе проверки пароля (CHAP). CHAP — это протокол, который используется для проверки подлинности однорангового узла соединения и основан на использовании узлами общего секретного кода (ключа безопасности, аналогичного паролю).

В Программная цель Microsoft iSCSI проверка подлинности CHAP и проверка подлинности обратного CHAP по умолчанию не включены. Проверку подлинности можно включить с помощью одного из двух методов проверки подлинности CHAP.

  • Включить CHAP

    Протокол CHAP можно использовать для обеспечения односторонней проверки подлинности. С помощью этого метода цель Цель iSCSI проверяет подлинность каждого инициатора Инициатор iSCSI, но инициатор Инициатор iSCSI не проверяет подлинность цели Цель iSCSI. Общий секретный код задается на цели Цель iSCSI, и все инициаторы Инициатор iSCSI должны использовать тот же секретный код для начала сеанса с целью Цель iSCSI.

  • Включить проверку подлинности обратного CHAP

    Обратную проверку подлинности CHAP можно использовать для проверки подлинности цели Цель iSCSI, которую выполняет инициатор Инициатор iSCSI. На инициаторе Инициатор iSCSI задается отдельный общий секретный код, и каждая цель Цель iSCSI должна предоставить для инициатора Инициатор iSCSI соответствующий общий секретный код.

Внимание!

Как минимум, используется односторонняя проверка подлинности CHAP между инициаторами iSCSI и целями. Для обеспечения большей безопасности включите также обратную проверку подлинности CHAP.

Дополнительные сведения о протоколе CHAP см. в разделе Протокол проверки подлинности Challenge Handshake Authentication Protocol (CHAP). Дополнительные сведения о безопасности iSCSI и общие сведения о iSCSI см. в разделе Технологии хранения Майкрософт — iSCSI.

Членство в локальной группе "Администраторы" (или аналогичной) является минимальным необходимым условием для выполнения этой процедуры. Просмотрите дополнительные сведения в "Дополнительных сведениях" в данном разделе.

Включение проверки подлинности цели iSCSI
  1. В компоненте "Программная цель Microsoft iSCSI" в дереве консоли щелкните iSCSI Targets.

  2. В области результатов щелкните правой кнопкой мыши цель Цель iSCSI, для которой нужно включить проверку подлинности, а затем выберите пункт Свойства.

  3. На вкладке Проверка подлинности установите флажок Включить CHAP, или Включить проверку подлинности обратного CHAP, или оба эти флажка.

  4. Для каждого выбранного метода проверки подлинности укажите соответствующее имя в поле Имя пользователя, укажите и подтвердите секретный код, после чего нажмите кнопку ОК.

Примечание

Если включена проверка подлинности CHAP и проверка подлинности обратного CHAP, необходимо для каждой проверки подлинности задать свой секретный код.

Дополнительные замечания

  • Для выполнения этих задач необходимо членство в локальной группе «Администраторы».

  • Чтобы открыть компонент "Конечное приложение iSCSI", в меню Пуск перейдите к пункту Администрирование и выберите пункт Конечные приложения Microsoft iSCSI.

  • Другой способ открыть компонент "Программная цель iSCSI": нажмите кнопку Пуск, выберите пункт Выполнить и введите iscsitarget.msc.

Дополнительные ссылки