为确保 iSCSI 设备安全,每当 ESXi 主机尝试访问目标 LUN 上的数据时都要求 iSCSI 设备(或称目标)对主机(或称启动器)进行身份验证。
身份验证可确保启动器具有访问目标的权利。您在对 iSCSI 设备配置身份验证时授予设备此权利。
对于 iSCSI,ESXi 不支持安全远程协议 (SRP) 或公用密钥身份验证方法。您只能将 Kerberos 与 NFS 4.1 配合使用。
ESXi 支持 CHAP 和双向 CHAP 身份验证。《《vSphere 存储》》文档介绍了如何为 iSCSI 设备选择最佳的身份验证方法以及如何设置 CHAP。
确保 CHAP 密钥的唯一性。为每台主机设置不同的双向身份验证密钥。如果可能,也为 ESXi 主机的每个客户端设置不同的密钥。唯一密钥可确保即使一台主机受到影响,攻击者也无法创建其他任意主机并向存储设备进行身份验证。使用共享密钥时,如果一个主机受到影响,则可能允许攻击者向存储设备进行身份验证。