Como as redes IP que a tecnologia iSCSI usa para se conectar a destinos remotos não protegem os dados que transportam, você deve garantir a segurança da conexão. Um dos protocolos que o iSCSI implementa é o CHAP (Challenge Handshake Authentication Protocol), que verifica a legitimidade dos iniciadores que acessam destinos na rede.
O CHAP usa um algoritmo de handshake de três vias para verificar a identidade do seu host e, se aplicável, do destino iSCSI quando o host e o destino estabelecem uma conexão. A verificação é baseada em um valor privado predefinido, ou segredo CHAP, que o iniciador e o destino compartilham.
ESXi oferece suporte à autenticação CHAP no nível do adaptador. Nesse caso, todos os destinos recebem o mesmo nome e segredo CHAP do iniciador iSCSI. Para adaptadores iSCSI de software e hardware dependentes, e para adaptadores iSER, o ESXi também oferece suporte à autenticação CHAP por destino, que permite configurar credenciais diferentes para cada destino para obter um maior nível de segurança.
Selecionando o método de autenticação CHAP
O ESXi é compatível com CHAP unidirecional para todos os tipos de iniciadores iSCSI e iSER, e CHAP bidirecional para iSCSI de software e hardware dependente e para iSER.
Antes de configurar o CHAP, verifique se o CHAP está ativado no sistema de armazenamento iSCSI. Além disso, obtenha informações sobre o método de autenticação CHAP compatível com o sistema. Se o CHAP estiver ativado, configure-o para seus iniciadores, certificando-se de que as credenciais de autenticação CHAP correspondam às credenciais no armazenamento iSCSI.
- CHAP unidirecional
- Na autenticação CHAP unidirecional, o destino autentica o iniciador, mas o iniciador não autentica o destino.
- CHAP bidirecional
- A autenticação CHAP bidirecional adiciona um nível extra de segurança. Com esse método, o iniciador também pode autenticar o destino. VMware é compatível com esse método para adaptadores iSCSI de software e hardware dependentes e para adaptadores iSER.
Para adaptadores iSCSI de software e hardware dependentes, e para adaptadores iSER, você pode definir o CHAP unidirecional e o CHAP bidirecional para cada adaptador ou no nível de destino. O iSCSI de hardware independente oferece suporte ao CHAP somente no nível do adaptador.
Ao definir os parâmetros CHAP, especifique um nível de segurança para CHAP.
Nível de segurança CHAP | Descrição | Adaptadores de armazenamento compatíveis |
---|---|---|
Nenhum | O host não usa a autenticação CHAP. Se a autenticação estiver ativada, use essa opção para desativá-la. | Hardware iSCSI independente Software iSCSI Hardware iSCSI dependente iSER |
Use CHAP unidirecional se exigido pelo destino | O host prefere uma conexão não-CHAP, mas pode usar uma conexão CHAP se exigido pelo destino. | Software iSCSI Hardware iSCSI dependente iSER |
Use CHAP unidirecional, a menos que seja proibido pelo destino | O host prefere CHAP, mas pode usar conexões não-CHAP se o destino não oferecer suporte a CHAP. | Hardware iSCSI independente Software iSCSI Hardware iSCSI dependente iSER |
Usar CHAP unidirecional | O host requer autenticação CHAP bem-sucedida. A conexão falhará se a negociação CHAP falhar. | Hardware iSCSI independente Software iSCSI Hardware iSCSI dependente iSER |
Usar CHAP bidirecional | O host e o destino oferecem suporte ao CHAP bidirecional. | Software iSCSI Hardware iSCSI dependente iSER |
Configurar o CHAP para adaptador de armazenamento iSCSI ou iSER
Quando você configura o nome e o segredo do CHAP no nível do adaptador iSCSI/iSER, todos os destinos recebem os mesmos parâmetros do adaptador. Por padrão, todos os endereços de descoberta ou destinos estáticos herdam os parâmetros CHAP que você configura no nível do adaptador.
Pré-requisitos
- Antes de configurar os parâmetros CHAP para o iSCSI de software ou hardware dependente, determine se o CHAP unidirecional ou bidirecional deve ser configurado. Os adaptadores iSCSI de hardware independentes não oferecem suporte ao CHAP bidirecional.
- Verifique os parâmetros CHAP configurados no lado do armazenamento. Os parâmetros que você configura devem corresponder aos do lado do armazenamento.
- Privilégio necessário:
Procedimento
Resultados
Se você alterar os parâmetros CHAP, eles serão usados para novas sessões de iSCSI. Para sessões existentes, as novas configurações não são usadas até que você faça logout e faça login novamente.
O que Fazer Depois
Configurar o CHAP para o destino
Se você usar adaptadores iSCSI de software e hardware dependentes, ou um adaptador de armazenamento iSER, poderá configurar diferentes credenciais CHAP para cada endereço de descoberta ou destino estático.
Pré-requisitos
- Antes de configurar os parâmetros CHAP, determine se o CHAP unidirecional ou bidirecional deve ser configurado.
- Verifique os parâmetros CHAP configurados no lado do armazenamento. Os parâmetros que você configura devem corresponder aos do lado do armazenamento.
- Privilégio necessário:
Procedimento
Resultados
Se você alterar os parâmetros CHAP, eles serão usados para novas sessões de iSCSI. Para sessões existentes, as novas configurações não são usadas até que você faça logout e faça login novamente.