Die IP-Netzwerke, die die iSCSI-Technologie zum Verbinden Ihres ESXi-Hosts mit Remotezielen verwendet, schützen die von ihnen transportierten Daten nicht. Daher müssen Sie die Sicherheit der Verbindung sicherstellen. Eines der von iSCSI implementierten Protokolle ist das Challenge Handshake Authentication Protocol (CHAP). Das CHAP-Protokoll überprüft die Legitimität vonESXi-Initiatoren, die auf Ziele im Netzwerk zugreifen.
CHAP verwendet einen dreiteiligen Handshake-Algorithmus, um die Identität Ihres Hosts und, sofern zutreffend, des iSCSI-Ziels zu verifizieren, wenn der Host und das Ziel eine Verbindung herstellen. Die Verifizierung basiert auf einem vordefinierten privaten Wert, dem CHAP-Schlüssel, den der Initiator und das Ziel gemeinsam nutzen.
ESXi unterstützt die CHAP-Authentifizierung auf der Adapterebene. In diesem Fall erhalten alle Ziele vom iSCSI-Initiator denselben CHAP-Namen und -Schlüssel. Für Software- und abhängige Hardware-iSCSI-Adapter sowie für iSER-Adapter unterstützt ESXi auch die zielbasierte CHAP-Authentifizierung, die Ihnen ermöglicht, unterschiedliche Anmeldedaten für die einzelnen Ziele zu konfigurieren und so die Sicherheit zu erhöhen.
Auswählen der CHAP-Authentifizierungsmethode
ESXi unterstützt unidirektionales CHAP für alle Typen von iSCSI- und iSER-Initiatoren und bidirektionales CHAP für Software- und abhängige Hardware-iSCSI sowie für iSER.
Überprüfen Sie vor der CHAP-Konfiguration, ob CHAP im iSCSI-Speichersystem aktiviert ist. Rufen Sie darüber hinaus die Informationen über die vom System unterstützten CHAP-Authentifizierungsmethode ab. Wenn CHAP aktiviert ist, konfigurieren Sie es für Ihre Initiatoren und stellen Sie sicher, dass die Anmeldedaten für die CHAP-Authentifizierung mit den Anmeldedaten im iSCSI-Speicher übereinstimmen.
- Unidirektionales CHAP
- Bei der unidirektionalen CHAP-Authentifizierung authentifiziert das Ziel den Initiator, nicht jedoch der Initiator das Ziel.
- Bidirektionales CHAP
- Die bidirektionale CHAP-Authentifizierung bietet eine zusätzliche Sicherheitsstufe. Mit dieser Methode kann der Initiator auch das Ziel authentifizieren. VMware unterstützt diese Methode nur für Software- und abhängige Hardware-iSCSI-Adapter sowie für iSER-Adapter.
Für Software- und abhängige Hardware-iSCSI-Adapter sowie für iSER-Adapter können Sie unidirektionales und bidirektionales CHAP für die einzelnen Adapter oder auf der Zielebene festlegen. Unabhängige Hardware-iSCSI unterstützt CHAP nur auf der Adapterebene.
Wenn Sie die CHAP-Parameter festlegen, geben Sie eine Sicherheitsstufe für CHAP an.
CHAP-Sicherheitsstufe | Beschreibung | Unterstützte Speicheradapter |
---|---|---|
Keine | Der Host verwendet keine CHAP-Authentifizierung. Wenn die Authentifizierung aktiviert ist, verwenden Sie diese Option, um sie zu deaktivieren. | Unabhängige Hardware-iSCSI Software-iSCSI Abhängige Hardware-iSCSI iSER |
Unidirektionales CHAP verwenden, wenn vom Ziel gefordert | Der Host bevorzugt eine Nicht-CHAP-Verbindung, er kann jedoch eine CHAP-Verbindung verwenden, wenn das Ziel dies erfordert. | Software-iSCSI Abhängige Hardware-iSCSI iSER |
Unidirektionales CHAP verwenden, es sei denn, das Ziel verbietet es | Der Host bevorzugt CHAP, er kann jedoch Nicht-CHAP-Verbindungen verwenden, wenn das Ziel CHAP nicht unterstützt. | Unabhängige Hardware-iSCSI Software-iSCSI Abhängige Hardware-iSCSI iSER |
Unidirektionales CHAP verwenden | Für den Host ist eine erfolgreiche CHAP-Authentifizierung erforderlich. Die Verbindung schlägt fehl, wenn die CHAP-Aushandlung fehlschlägt. | Unabhängige Hardware-iSCSI Software-iSCSI Abhängige Hardware-iSCSI iSER |
Bidirektionales CHAP verwenden | Der Host und das Ziel unterstützen bidirektionales CHAP. | Software-iSCSI Abhängige Hardware-iSCSI iSER |
Einrichten von CHAP für iSCSI- oder iSER-Speicheradapter
Wenn Sie den CHAP-Namen und -Schlüssel auf der Ebene des iSCSI/iSER-Adapters einrichten, empfangen alle Ziele dieselben Parameter vom Adapter. Standardmäßig übernehmen alle Erkennungsadressen und statischen Ziele die CHAP-Parameter, die Sie auf der Adapterebene einrichten.
Voraussetzungen
- Legen Sie vor dem Einrichten von CHAP-Parametern für Software-iSCSI oder abhängige Hardware-iSCSI fest, ob unidirektionales oder bidirektionales CHAP konfiguriert werden soll. Abhängige Hardware-iSCSI-Adapter unterstützen das bidirektionale CHAP nicht.
- Überprüfen Sie die auf der Speicherseite konfigurierten CHAP-Parameter. Parameter, die Sie konfigurieren, müssen zu denen auf der Speicherseite passen.
- Erforderliche Berechtigung:
Prozedur
Ergebnisse
Wenn Sie die Parameter für CHAP ändern, werden die neuen Parameter für neue iSCSI-Sitzungen verwendet. Für bestehende Sitzungen werden die neuen Einstellungen erst nach der Ab- und erneuten Anmeldung verwendet.
Nächste Maßnahme
Einrichten von CHAP für Ziele
Wenn Sie Software- und abhängige Hardware-iSCSI-Adapter oder einen iSER-Speicheradapter verwenden, können Sie verschiedene CHAP-Anmeldedaten für einzelne Erkennungsadressen oder statische Ziele konfigurieren.
Voraussetzungen
- Legen Sie vor dem Einrichten von CHAP-Parametern fest, ob unidirektionales oder bidirektionales CHAP konfiguriert werden soll.
- Überprüfen Sie die auf der Speicherseite konfigurierten CHAP-Parameter. Parameter, die Sie konfigurieren, müssen zu denen auf der Speicherseite passen.
- Erforderliche Berechtigung:
Prozedur
Ergebnisse
Wenn Sie die Parameter für CHAP ändern, werden die neuen Parameter für neue iSCSI-Sitzungen verwendet. Für bestehende Sitzungen werden die neuen Einstellungen erst nach der Ab- und erneuten Anmeldung verwendet.