Como as redes IP que a tecnologia iSCSI usa para se conectar a destinos remotos não protegem os dados que transportam, você deve garantir a segurança da conexão. Um dos protocolos que o iSCSI implementa é o CHAP (Challenge Handshake Authentication Protocol), que verifica a legitimidade dos iniciadores que acessam destinos na rede.

O CHAP usa um algoritmo de handshake de três vias para verificar a identidade do seu host e, se aplicável, do destino iSCSI quando o host e o destino estabelecem uma conexão. A verificação é baseada em um valor privado predefinido, ou segredo CHAP, que o iniciador e o destino compartilham.

ESXi oferece suporte à autenticação CHAP no nível do adaptador. Nesse caso, todos os destinos recebem o mesmo nome e segredo CHAP do iniciador iSCSI. Para adaptadores iSCSI de software e hardware dependentes, e para adaptadores iSER, o ESXi também oferece suporte à autenticação CHAP por destino, que permite configurar credenciais diferentes para cada destino para obter um maior nível de segurança.

Selecionando o método de autenticação CHAP

O ESXi é compatível com CHAP unidirecional para todos os tipos de iniciadores iSCSI e iSER, e CHAP bidirecional para iSCSI de software e hardware dependente e para iSER.

Antes de configurar o CHAP, verifique se o CHAP está ativado no sistema de armazenamento iSCSI. Além disso, obtenha informações sobre o método de autenticação CHAP compatível com o sistema. Se o CHAP estiver ativado, configure-o para seus iniciadores, certificando-se de que as credenciais de autenticação CHAP correspondam às credenciais no armazenamento iSCSI.

ESXi é compatível com os seguintes métodos de autenticação CHAP:
CHAP unidirecional
Na autenticação CHAP unidirecional, o destino autentica o iniciador, mas o iniciador não autentica o destino.
CHAP bidirecional
A autenticação CHAP bidirecional adiciona um nível extra de segurança. Com esse método, o iniciador também pode autenticar o destino. VMware é compatível com esse método para adaptadores iSCSI de software e hardware dependentes e para adaptadores iSER.

Para adaptadores iSCSI de software e hardware dependentes, e para adaptadores iSER, você pode definir o CHAP unidirecional e o CHAP bidirecional para cada adaptador ou no nível de destino. O iSCSI de hardware independente oferece suporte ao CHAP somente no nível do adaptador.

Ao definir os parâmetros CHAP, especifique um nível de segurança para CHAP.

Observação: Quando você especifica o nível de segurança CHAP, a forma como a matriz de armazenamento responde depende da implementação de CHAP da matriz e é específica do fornecedor. Para obter informações sobre o comportamento da autenticação CHAP em diferentes configurações de inicializador e destino, consulte a documentação da matriz.
Tabela 1. Nível de segurança CHAP
Nível de segurança CHAP Descrição Adaptadores de armazenamento compatíveis
Nenhum O host não usa a autenticação CHAP. Se a autenticação estiver ativada, use essa opção para desativá-la.

Hardware iSCSI independente

Software iSCSI

Hardware iSCSI dependente

iSER
Use CHAP unidirecional se exigido pelo destino O host prefere uma conexão não-CHAP, mas pode usar uma conexão CHAP se exigido pelo destino.

Software iSCSI

Hardware iSCSI dependente

iSER
Use CHAP unidirecional, a menos que seja proibido pelo destino O host prefere CHAP, mas pode usar conexões não-CHAP se o destino não oferecer suporte a CHAP.

Hardware iSCSI independente

Software iSCSI

Hardware iSCSI dependente

iSER
Usar CHAP unidirecional O host requer autenticação CHAP bem-sucedida. A conexão falhará se a negociação CHAP falhar.

Hardware iSCSI independente

Software iSCSI

Hardware iSCSI dependente

iSER
Usar CHAP bidirecional O host e o destino oferecem suporte ao CHAP bidirecional.

Software iSCSI

Hardware iSCSI dependente

iSER

Configurar o CHAP para adaptador de armazenamento iSCSI ou iSER

Quando você configura o nome e o segredo do CHAP no nível do adaptador iSCSI/iSER, todos os destinos recebem os mesmos parâmetros do adaptador. Por padrão, todos os endereços de descoberta ou destinos estáticos herdam os parâmetros CHAP que você configura no nível do adaptador.

O nome CHAP não pode exceder 511 caracteres alfanuméricos e o segredo CHAP não pode exceder 255 caracteres alfanuméricos. Alguns adaptadores, por exemplo, o adaptador QLogic, podem ter limites inferiores, 255 para o nome CHAP e 100 para o segredo CHAP.

Pré-requisitos

  • Antes de configurar os parâmetros CHAP para o iSCSI de software ou hardware dependente, determine se o CHAP unidirecional ou bidirecional deve ser configurado. Os adaptadores iSCSI de hardware independentes não oferecem suporte ao CHAP bidirecional.
  • Verifique os parâmetros CHAP configurados no lado do armazenamento. Os parâmetros que você configura devem corresponder aos do lado do armazenamento.
  • Privilégio necessário: Host.Configuração.Configuração da partição de armazenamento

Procedimento

  1. Navegue até o adaptador de armazenamento iSCSI ou iSER.
    1. No vSphere Client, navegue até o host ESXi.
    2. Clique na guia Configurar (Configure).
    3. Em Armazenamento (Storage), clique em Adaptadores de armazenamento (Storage Adapters) e selecione o adaptador (vmhba#) a ser configurado.
  2. Clique na guia Propriedades (Properties) e clique em Editar (Edit) no painel Autenticação (Authentication).
  3. Especifique o método de autenticação.
    • Nenhum (None)
    • Use CHAP unidirecional se exigido pelo destino (Use unidirectional CHAP if required by target)
    • Usar CHAP unidirecional, a menos que seja proibido pelo destino (Use unidirectional CHAP unless prohibited by target)
    • Usar CHAP unidirecional (Use unidirectional CHAP)
    • Usar CHAP bidirecional (Use bidirectional CHAP). Para configurar o CHAP bidirecional, você deve selecionar essa opção.
  4. Especifique o nome CHAP de saída.

    Certifique-se de que o nome especificado corresponda ao nome configurado no lado do armazenamento.

    • Para definir o nome CHAP como o nome do adaptador iSCSI, selecione Usar nome do iniciador (Use initiator name).
    • Para definir o nome CHAP como qualquer outro que não seja o nome do iniciador iSCSI, desmarque Usar nome do iniciador (Use initiator name) e digite um nome na caixa de texto Nome (Name).
  5. Insira um segredo CHAP de saída a ser usado como parte da autenticação. Use o mesmo segredo que você insere no lado do armazenamento.
  6. Se estiver configurando o CHAP bidirecional, especifique as credenciais de CHAP de entrada.
    Certifique-se de usar segredos diferentes para o CHAP de saída e de entrada.
  7. Clique em OK.
  8. Verifique novamente o adaptador iSCSI.

Resultados

Se você alterar os parâmetros CHAP, eles serão usados para novas sessões de iSCSI. Para sessões existentes, as novas configurações não são usadas até que você faça logout e faça login novamente.

O que Fazer Depois

Para obter outras etapas de configuração que você pode executar para os adaptadores de armazenamento iSCSI ou iSER, consulte os seguintes tópicos:

Configurar o CHAP para o destino

Se você usar adaptadores iSCSI de software e hardware dependentes, ou um adaptador de armazenamento iSER, poderá configurar diferentes credenciais CHAP para cada endereço de descoberta ou destino estático.

O nome do CHAP não pode exceder 511 e o segredo do CHAP, 255 caracteres alfanuméricos.

Pré-requisitos

  • Antes de configurar os parâmetros CHAP, determine se o CHAP unidirecional ou bidirecional deve ser configurado.
  • Verifique os parâmetros CHAP configurados no lado do armazenamento. Os parâmetros que você configura devem corresponder aos do lado do armazenamento.
  • Privilégio necessário: Host.Configuração.Configuração da partição de armazenamento

Procedimento

  1. Navegue até o adaptador de armazenamento iSCSI ou iSER.
    1. No vSphere Client, navegue até o host ESXi.
    2. Clique na guia Configurar (Configure).
    3. Em Armazenamento (Storage), clique em Adaptadores de armazenamento (Storage Adapters) e selecione o adaptador (vmhba#) a ser configurado.
  2. Clique em Dynamic Discovery ou Static Discovery.
  3. Na lista de destinos disponíveis, selecione um destino para configurar e clique em Autenticação (Authentication).
  4. Desmarque Herdar configurações do pai (Inherit settings from parent) e especifique o método de autenticação.
    • Nenhum (None)
    • Use CHAP unidirecional se exigido pelo destino (Use unidirectional CHAP if required by target)
    • Usar CHAP unidirecional, a menos que seja proibido pelo destino (Use unidirectional CHAP unless prohibited by target)
    • Usar CHAP unidirecional (Use unidirectional CHAP)
    • Usar CHAP bidirecional (Use bidirectional CHAP). Para configurar o CHAP bidirecional, você deve selecionar essa opção.
  5. Especifique o nome CHAP de saída.

    Certifique-se de que o nome especificado corresponda ao nome configurado no lado do armazenamento.

    • Para definir o nome CHAP como o nome do adaptador iSCSI, selecione Usar nome do iniciador (Use initiator name).
    • Para definir o nome CHAP como qualquer outro que não seja o nome do iniciador iSCSI, desmarque Usar nome do iniciador (Use initiator name) e digite um nome na caixa de texto Nome (Name).
  6. Insira um segredo CHAP de saída a ser usado como parte da autenticação. Use o mesmo segredo que você insere no lado do armazenamento.
  7. Se estiver configurando o CHAP bidirecional, especifique as credenciais de CHAP de entrada.
    Certifique-se de usar segredos diferentes para o CHAP de saída e de entrada.
  8. Clique em OK.
  9. Verifique novamente o adaptador de armazenamento.

Resultados

Se você alterar os parâmetros CHAP, eles serão usados para novas sessões de iSCSI. Para sessões existentes, as novas configurações não são usadas até que você faça logout e faça login novamente.