Configurar los parámetros de CHAP para los adaptadores de almacenamiento de iSCSI o iSER en el host ESXi

Las redes IP que utiliza la tecnología iSCSI para conectar el host ESXi a destinos remotos no protegen los datos que transportan. Como resultado, debe garantizar la seguridad de la conexión. Uno de los protocolos que iSCSI implementa es el protocolo de autenticación por desafío mutuo (Challenge Handshake Authentication Protocol, CHAP). El protocolo CHAP verifica la legitimidad de los iniciadores ESXi que acceden a destinos en la red.

CHAP utiliza un algoritmo de enlace triple para comprobar la identidad del host y, si corresponde, del destino iSCSI cuando el host y el destino establecen una conexión. La comprobación se basa en un valor privado predefinido, o un secreto CHAP, que comparten el iniciador y el destino.

ESXi admite la autenticación de CHAP en el nivel del adaptador. En este caso, todos los destinos reciben el mismo nombre y el mismo secreto CHAP por parte del iniciador iSCSI. En el caso de los adaptadores de iSCSI de software y de hardware dependiente, así como los adaptadores de iSER, ESXi también admite la autenticación de CHAP por destino, que permite configurar distintas credenciales para cada destino para lograr un nivel de mayor de seguridad.

Selección del método de autenticación de CHAP

ESXi admite CHAP unidireccional para todos los tipos de iniciadores iSCSI/iSER, y CHAP bidireccional para iSCSI de software y hardware dependiente, así como para iSER.

Antes de configurar CHAP, compruebe si CHAP está activado en el sistema de almacenamiento iSCSI. Además, averigüe cuál es el método de autenticación de CHAP compatible con el sistema. Si CHAP está activado, configúrelo para los iniciadores y asegúrese de que las credenciales de autenticación de CHAP coincidan con las credenciales en el almacenamiento iSCSI.

ESXi admite los siguientes métodos de autenticación de CHAP:

CHAP unidireccional: En la autenticación de CHAP unidireccional, el destino autentica el iniciador, pero el iniciador no autentica el destino.
CHAP bidireccional: La autenticación de CHAP bidireccional aporta un nivel adicional de seguridad. Con este método, el iniciador puede autenticar también el destino. VMware admite este método para adaptadores de iSCSI de software y de hardware dependiente, así como para adaptadores de iSER.

Para adaptadores de iSCSI de software y de hardware dependiente, así como para adaptadores de iSER, se puede establecer CHAP unidireccional y CHAP bidireccional para cada adaptador o en el nivel del destino. iSCSI de hardware independiente admite CHAP solo en el nivel del adaptador.

Cuando establezca los parámetros de CHAP, especifique un nivel de seguridad para CHAP.

Nota: Cuando se especifica el nivel de seguridad de CHAP, la forma en que responde la matriz de almacenamiento depende de la implementación de CHAP de la matriz, y es específica del proveedor. Para obtener información sobre el comportamiento de la autenticación de CHAP en diferentes configuraciones de iniciador y destino, consulte la documentación de la matriz.

Tabla 1. Nivel de seguridad de CHAP
Nivel de seguridad de CHAP	Descripción	Adaptadores de almacenamiento compatibles
Ninguna	El host no utiliza autenticación de CHAP. Si la autenticación está activada, utilice esta opción para desactivarla.	iSCSI de hardware independiente iSCSI de software iSCSI de hardware dependiente iSER
Usar CHAP unidireccional, si el destino lo requiere	El host prefiere una conexión que no sea CHAP, pero se puede utilizar una conexión CHAP si el destino lo requiere.	iSCSI de software iSCSI de hardware dependiente iSER
Usar CHAP unidireccional, a menos que el destino lo prohíba	El host prefiere CHAP, pero se pueden utilizar conexiones que no sean CHAP si el destino no admite CHAP.	iSCSI de hardware independiente iSCSI de software iSCSI de hardware dependiente iSER
Usar CHAP unidireccional	El host requiere una autenticación de CHAP correcta. La conexión genera un error si falla la negociación de CHAP.	iSCSI de hardware independiente iSCSI de software iSCSI de hardware dependiente iSER
Utilizar CHAP bidireccional	Tanto el host como el destino admiten CHAP bidireccional.	iSCSI de software iSCSI de hardware dependiente iSER

Configurar CHAP para un adaptador de almacenamiento de iSCSI o iSER

Cuando se configura el nombre y el secreto del CHAP en el nivel del adaptador de iSCSI/iSER, todos los destinos reciben los mismos parámetros del adaptador. De forma predeterminada, todas las direcciones de detección o destinos estáticos heredan los parámetros del CHAP configurados en el nivel del adaptador.

El nombre de CHAP no debe superar los 511 caracteres alfanuméricos, mientras que el secreto CHAP no debe superar los 255 caracteres alfanuméricos. Algunos adaptadores, por ejemplo, el adaptador QLogic, pueden tener límites más bajos: 255 caracteres para el nombre de CHAP y 100 para el secreto CHAP.

Requisitos previos

Antes de configurar los parámetros de CHAP para iSCSI de hardware dependiente o de software, determine si desea configurar CHAP unidireccional o bidireccional. Los adaptadores iSCSI de hardware independiente no admiten CHAP bidireccional.
Compruebe los parámetros de CHAP configurados en el almacenamiento. Los parámetros configurados deben coincidir con los del almacenamiento.
Privilegio necesario: Host.Configuración.Configuración de partición de almacenamiento

Procedimiento

Desplácese hasta el adaptador de almacenamiento de iSCSI o iSER.
1. En vSphere Client, desplácese hasta el host ESXi.
2. Haga clic en la pestaña Configurar.
3. En Almacenamiento, haga clic en Adaptadores de almacenamiento y seleccione el adaptador (vmhba#) que desea configurar.
Haga clic en la pestaña Propiedades y en la opción Editar del panel Autenticación.
Especifique el método de autenticación.
- Ninguno
- Usar CHAP unidireccional, si el destino lo requiere
- Usar CHAP unidireccional, a menos que el destino lo prohíba
- Usar CHAP unidireccional
- Usar CHAP bidireccional. Para configurar el CHAP bidireccional, debe seleccionar esta opción.
Especifique el nombre de CHAP saliente.
Asegúrese de que el nombre que especifique coincida con el nombre configurado en el lado del almacenamiento.
- Para establecer el nombre de CHAP con el nombre del adaptador de iSCSI, seleccione Usar nombre del iniciador.
- Para establecer el nombre de CHAP con cualquier otro nombre distinto del nombre del iniciador iSCSI, desactive la casilla Usar nombre del iniciador y escriba un nombre en el cuadro de texto Nombre.
Introduzca el secreto de CHAP saliente que desea utilizar como parte de la autenticación. Utilice la misma contraseña que escribió en el lado del almacenamiento.
Si configura CHAP bidireccional, especifique credenciales de CHAP entrantes.
Asegúrese de utilizar diferentes secretos para el CHAP saliente y entrante.
Haga clic en Aceptar.
Vuelva a examinar el adaptador de iSCSI.

Resultados

Si cambia los parámetros de CHAP, se utilizarán para nuevas sesiones de iSCSI. En las sesiones existentes, la nueva configuración no se utiliza a menos que cierre la sesión y vuelva a iniciarla.

Qué hacer a continuación

Para saber qué otros pasos de configuración puede realizar para los adaptadores de almacenamiento de iSCSI o iSER, consulte los siguientes temas:

Configurar CHAP para un destino

Si utiliza adaptadores de iSCSI de hardware dependiente y de software, o un adaptador de almacenamiento de iSER, puede configurar diferentes credenciales CHAP para cada dirección de detección o destino estático.

El nombre de CHAP no debe superar los 511 caracteres alfanuméricos, en tanto que el secreto CHAP no debe superar los 255 caracteres alfanuméricos.

Requisitos previos

Antes de configurar los parámetros de CHAP, determine si desea configurar CHAP unidireccional o bidireccional.
Compruebe los parámetros de CHAP configurados en el almacenamiento. Los parámetros configurados deben coincidir con los del almacenamiento.
Privilegio necesario: Host.Configuración.Configuración de partición de almacenamiento

Procedimiento

Desplácese hasta el adaptador de almacenamiento de iSCSI o iSER.
1. En vSphere Client, desplácese hasta el host ESXi.
2. Haga clic en la pestaña Configurar.
3. En Almacenamiento, haga clic en Adaptadores de almacenamiento y seleccione el adaptador (vmhba#) que desea configurar.
Haga clic en Detección dinámica o Detección estática.
En la lista de destinos disponibles, seleccione el destino que desea configurar y haga clic en Autenticación.
Anule la selección de Heredar configuración del primario y especifique el método de autenticación.
- Ninguno
- Usar CHAP unidireccional, si el destino lo requiere
- Usar CHAP unidireccional, a menos que el destino lo prohíba
- Usar CHAP unidireccional
- Usar CHAP bidireccional. Para configurar el CHAP bidireccional, debe seleccionar esta opción.
Especifique el nombre de CHAP saliente.
Asegúrese de que el nombre que especifique coincida con el nombre configurado en el lado del almacenamiento.
- Para establecer el nombre de CHAP con el nombre del adaptador de iSCSI, seleccione Usar nombre del iniciador.
- Para establecer el nombre de CHAP con cualquier otro nombre distinto del nombre del iniciador iSCSI, desactive la casilla Usar nombre del iniciador y escriba un nombre en el cuadro de texto Nombre.
Introduzca el secreto de CHAP saliente que desea utilizar como parte de la autenticación. Utilice la misma contraseña que escribió en el lado del almacenamiento.
Si configura CHAP bidireccional, especifique credenciales de CHAP entrantes.
Asegúrese de utilizar diferentes secretos para el CHAP saliente y entrante.
Haga clic en Aceptar.
Vuelva a examinar el adaptador de almacenamiento.

Resultados

Si cambia los parámetros de CHAP, se utilizarán para nuevas sesiones de iSCSI. Para las sesiones actuales, no se utilizará la configuración nueva hasta que cierre la sesión y vuelva a iniciarla.