Da die IP-Netzwerke, die von der iSCSI-Technologie zum Verbinden mit Remotezielen verwendet werden, die von ihnen übertragenen Daten nicht schützen, muss die Sicherheit der Verbindung gewährleistet werden. Eines der von iSCSI implementierten Protokolle ist das CHAP (Challenge Handshake Authentication Protocol), das die jeweiligen Berechtigungen der Initiatoren überprüft, die auf Ziele im Netzwerk zugreifen.

CHAP verwendet einen dreiteiligen Handshake-Algorithmus, um die Identität Ihres Hosts und, sofern zutreffend, des iSCSI-Ziels zu verifizieren, wenn der Host und das Ziel eine Verbindung herstellen. Die Verifizierung basiert auf einem vordefinierten privaten Wert, dem CHAP-Schlüssel, den der Initiator und das Ziel gemeinsam nutzen.

ESXi unterstützt die CHAP-Authentifizierung auf der Adapterebene. In diesem Fall erhalten alle Ziele vom iSCSI-Initiator denselben CHAP-Namen und -Schlüssel. Für Software- und abhängige Hardware-iSCSI-Adapter sowie für iSER-Adapter unterstützt ESXi auch die zielbasierte CHAP-Authentifizierung, die Ihnen ermöglicht, unterschiedliche Anmeldedaten für die einzelnen Ziele zu konfigurieren und so die Sicherheit zu erhöhen.

Auswählen der CHAP-Authentifizierungsmethode

ESXi unterstützt unidirektionales CHAP für alle Typen von iSCSI- und iSER-Initiatoren und bidirektionales CHAP für Software- und abhängige Hardware-iSCSI sowie für iSER.

Überprüfen Sie vor der CHAP-Konfiguration, ob CHAP im iSCSI-Speichersystem aktiviert ist. Rufen Sie darüber hinaus die Informationen über die vom System unterstützten CHAP-Authentifizierungsmethode ab. Wenn CHAP aktiviert ist, konfigurieren Sie es für Ihre Initiatoren und stellen Sie sicher, dass die Anmeldedaten für die CHAP-Authentifizierung mit den Anmeldedaten im iSCSI-Speicher übereinstimmen.

ESXi unterstützt die folgenden CHAP-Authentifizierungsmethoden:
Unidirektionales CHAP
Bei der unidirektionalen CHAP-Authentifizierung authentifiziert das Ziel den Initiator, nicht jedoch der Initiator das Ziel.
Bidirektionales CHAP
Die bidirektionale CHAP-Authentifizierung bietet eine zusätzliche Sicherheitsstufe. Mit dieser Methode kann der Initiator auch das Ziel authentifizieren. VMware unterstützt diese Methode nur für Software- und abhängige Hardware-iSCSI-Adapter sowie für iSER-Adapter.

Für Software- und abhängige Hardware-iSCSI-Adapter sowie für iSER-Adapter können Sie unidirektionales und bidirektionales CHAP für die einzelnen Adapter oder auf der Zielebene festlegen. Unabhängige Hardware-iSCSI unterstützt CHAP nur auf der Adapterebene.

Wenn Sie die CHAP-Parameter festlegen, geben Sie eine Sicherheitsstufe für CHAP an.

Hinweis: Wenn Sie die CHAP-Sicherheitsebene angeben, ist die Reaktion des Speicher-Arrays anbieterspezifisch und hängt von der CHAP-Implementierung des Arrays ab. Weitere Informationen über das Verhalten der CHAP-Authentifizierung in verschiedenen Initiator- und Zielkonfigurationen finden Sie in der Array-Dokumentation.
Tabelle 1. CHAP-Sicherheitsstufe
CHAP-Sicherheitsstufe Beschreibung Unterstützte Speicheradapter
Keine Der Host verwendet keine CHAP-Authentifizierung. Wenn die Authentifizierung aktiviert ist, verwenden Sie diese Option, um sie zu deaktivieren.

Unabhängige Hardware-iSCSI

Software-iSCSI

Abhängige Hardware-iSCSI

iSER

Unidirektionales CHAP verwenden, wenn vom Ziel gefordert Der Host bevorzugt eine Nicht-CHAP-Verbindung, er kann jedoch eine CHAP-Verbindung verwenden, wenn das Ziel dies erfordert.

Software-iSCSI

Abhängige Hardware-iSCSI

iSER

Unidirektionales CHAP verwenden, es sei denn, das Ziel verbietet es Der Host bevorzugt CHAP, er kann jedoch Nicht-CHAP-Verbindungen verwenden, wenn das Ziel CHAP nicht unterstützt.

Unabhängige Hardware-iSCSI

Software-iSCSI

Abhängige Hardware-iSCSI

iSER

Unidirektionales CHAP verwenden Für den Host ist eine erfolgreiche CHAP-Authentifizierung erforderlich. Die Verbindung schlägt fehl, wenn die CHAP-Aushandlung fehlschlägt.

Unabhängige Hardware-iSCSI

Software-iSCSI

Abhängige Hardware-iSCSI

iSER

Bidirektionales CHAP verwenden Der Host und das Ziel unterstützen bidirektionales CHAP.

Software-iSCSI

Abhängige Hardware-iSCSI

iSER

Einrichten von CHAP für iSCSI- oder iSER-Speicheradapter

Wenn Sie den CHAP-Namen und -Schlüssel auf der Ebene des iSCSI/iSER-Adapters einrichten, empfangen alle Ziele dieselben Parameter vom Adapter. Standardmäßig übernehmen alle Erkennungsadressen und statischen Ziele die CHAP-Parameter, die Sie auf der Adapterebene einrichten.

Der CHAP-Name darf nicht mehr als 511 und der CHAP-Schlüssel nicht mehr als 255 alphanumerische Zeichen umfassen. Einige Adapter, z. B. der QLogic-Adapter, haben möglicherweise niedrigere Grenzen: 255 für den CHAP-Namen und 100 für den CHAP-Schlüssel.

Voraussetzungen

  • Legen Sie vor dem Einrichten von CHAP-Parametern für Software-iSCSI oder abhängige Hardware-iSCSI fest, ob unidirektionales oder bidirektionales CHAP konfiguriert werden soll. Abhängige Hardware-iSCSI-Adapter unterstützen das bidirektionale CHAP nicht.
  • Überprüfen Sie die auf der Speicherseite konfigurierten CHAP-Parameter. Parameter, die Sie konfigurieren, müssen zu denen auf der Speicherseite passen.
  • Erforderliche Berechtigung: Host.Konfiguration.Konfiguration für Speicherpartition

Prozedur

  1. Navigieren Sie zum iSCSI- oder iSER-Speicheradapter.
    1. Navigieren Sie im vSphere Client zum ESXi-Host.
    2. Klicken Sie auf die Registerkarte Konfigurieren.
    3. Klicken Sie unter Speicher auf Speicheradapter und wählen Sie den zu konfigurierenden Adapter (vmhba#) aus.
  2. Klicken Sie auf die Registerkarte Eigenschaften und klicken Sie im Bereich Authentifizierung auf Bearbeiten.
  3. Legen Sie die Authentifizierungsmethode fest.
    • Keine
    • Unidirektionales CHAP verwenden, wenn vom Ziel gefordert
    • Unidirektionales CHAP verwenden, es sei denn, das Ziel verbietet es
    • Unidirektionales CHAP verwenden
    • Verwenden Sie bidirektionales CHAP. Um bidirektionales CHAP zu konfigurieren, müssen Sie diese Option auswählen.
  4. Geben Sie den ausgehenden CHAP-Namen an.

    Stellen Sie sicher, dass der Name, den Sie angeben, mit dem auf der Speicherseite konfigurierten Namen übereinstimmt.

    • Wenn der CHAP-Name dem iSCSI-Adapternamen entsprechen soll, aktivieren Sie das Kontrollkästchen Initiatornamen verwenden (Use initiator name).
    • Wenn Sie den iSCSI-Initiatornamen nicht als CHAP-Namen verwenden möchten, deaktivieren Sie Initiator-Name verwenden und geben Sie einen Namen in das Textfeld Name ein.
  5. Geben Sie einen ausgehenden CHAP-Schlüssel ein, der als Teil der Authentifizierung verwendet werden soll. Verwenden Sie denselben Schlüssel, den Sie auf der Speicherseite eingeben.
  6. Wenn Sie bidirektionales CHAP konfigurieren, geben Sie eingehende CHAP-Anmeldedaten an.
    Für ausgehendes und eingehendes CHAP müssen Sie verschiedene Schlüssel verwenden.
  7. Klicken Sie auf OK.
  8. Führen Sie eine erneute Prüfung des iSCSI-Adapters durch.

Ergebnisse

Wenn Sie die Parameter für CHAP ändern, werden die neuen Parameter für neue iSCSI-Sitzungen verwendet. Für bestehende Sitzungen werden die neuen Einstellungen erst nach der Ab- und erneuten Anmeldung verwendet.

Nächste Maßnahme

Weitere Konfigurationsschritte, die Sie für die iSCSI- oder ISER-Speicheradapter durchführen können, finden Sie in den folgenden Themen:

Einrichten von CHAP für Ziele

Wenn Sie Software- und abhängige Hardware-iSCSI-Adapter oder einen iSER-Speicheradapter verwenden, können Sie verschiedene CHAP-Anmeldedaten für einzelne Erkennungsadressen oder statische Ziele konfigurieren.

Der CHAP-Name darf nicht mehr als 511 und der CHAP-Schlüssel nicht mehr als 255 alphanumerische Zeichen umfassen.

Voraussetzungen

  • Legen Sie vor dem Einrichten von CHAP-Parametern fest, ob unidirektionales oder bidirektionales CHAP konfiguriert werden soll.
  • Überprüfen Sie die auf der Speicherseite konfigurierten CHAP-Parameter. Parameter, die Sie konfigurieren, müssen zu denen auf der Speicherseite passen.
  • Erforderliche Berechtigung: Host.Konfiguration.Konfiguration für Speicherpartition

Prozedur

  1. Navigieren Sie zum iSCSI- oder iSER-Speicheradapter.
    1. Navigieren Sie im vSphere Client zum ESXi-Host.
    2. Klicken Sie auf die Registerkarte Konfigurieren.
    3. Klicken Sie unter Speicher auf Speicheradapter und wählen Sie den zu konfigurierenden Adapter (vmhba#) aus.
  2. Klicken Sie auf Dynamische Erkennung oder Statische Erkennung.
  3. Wählen Sie in der Liste der verfügbaren Ziele ein Ziel aus, das Sie konfigurieren möchten, und klicken Sie auf Authentifizierung.
  4. Heben Sie die Auswahl von Einstellungen von übergeordnetem Element übernehmen auf und legen Sie die Authentifizierungsmethode fest.
    • Keine
    • Unidirektionales CHAP verwenden, wenn vom Ziel gefordert
    • Unidirektionales CHAP verwenden, es sei denn, das Ziel verbietet es
    • Unidirektionales CHAP verwenden
    • Verwenden Sie bidirektionales CHAP. Um bidirektionales CHAP zu konfigurieren, müssen Sie diese Option auswählen.
  5. Geben Sie den ausgehenden CHAP-Namen an.

    Stellen Sie sicher, dass der Name, den Sie angeben, mit dem auf der Speicherseite konfigurierten Namen übereinstimmt.

    • Wenn der CHAP-Name dem iSCSI-Adapternamen entsprechen soll, aktivieren Sie das Kontrollkästchen Initiatornamen verwenden (Use initiator name).
    • Wenn Sie den iSCSI-Initiatornamen nicht als CHAP-Namen verwenden möchten, deaktivieren Sie Initiator-Name verwenden und geben Sie einen Namen in das Textfeld Name ein.
  6. Geben Sie einen ausgehenden CHAP-Schlüssel ein, der als Teil der Authentifizierung verwendet werden soll. Verwenden Sie denselben Schlüssel, den Sie auf der Speicherseite eingeben.
  7. Wenn Sie bidirektionales CHAP konfigurieren, geben Sie eingehende CHAP-Anmeldedaten an.
    Für ausgehendes und eingehendes CHAP müssen Sie verschiedene Schlüssel verwenden.
  8. Klicken Sie auf OK.
  9. Führen Sie eine erneute Prüfung des Speicheradapters durch.

Ergebnisse

Wenn Sie die Parameter für CHAP ändern, werden die neuen Parameter für neue iSCSI-Sitzungen verwendet. Für bestehende Sitzungen werden die neuen Einstellungen erst nach der Ab- und erneuten Anmeldung verwendet.