Configuration des paramètres CHAP pour les adaptateurs de stockage iSCSI ou iSER sur un hôte ESXi

Les réseaux IP que la technologie iSCSI utilise pour connecter votre hôte ESXi à des cibles distantes ne protègent pas les données qu'ils transportent. De ce fait, vous devez assurer la sécurité de la connexion. L'un des protocoles mis en œuvre par iSCSI est le protocole CHAP (Challenge Handshake Authentication Protocol). Le protocole CHAP vérifie la légitimité des initiateurs ESXi qui accèdent aux cibles sur le réseau.

Le protocole CHAP applique un algorithme de négociation à trois voies pour vérifier l'identité de votre hôte et, le cas échéant, de la cible iSCSI quand l'hôte et la cible établissent une connexion. La vérification repose sur une valeur privée prédéfinie, dite secret CHAP, que l'initiateur et la cible partagent.

ESXi prend en charge l'authentification CHAP au niveau de l'adaptateur. Dans ce cas, toutes les cibles reçoivent les mêmes nom et secret CHAP de la part de l'initiateur iSCSI. Pour les adaptateurs iSCSI logiciels et dépendant du matériel, et pour les adaptateurs iSER, ESXi prend également en charge l'authentification CHAP en fonction de la cible, ce qui vous permet de configurer différentes informations d'identification pour chaque cible afin de renforcer la sécurité.

Sélection de la méthode d'authentification CHAP

ESXi prend en charge le protocole CHAP unidirectionnel pour tous les types d'initiateurs iSCSI et iSER, ainsi que le protocole CHAP bidirectionnel pour les logiciels et le matériel dépendant iSCSI, et pour iSER.

Avant de configurer CHAP, vérifiez si CHAP est activé sur le système de stockage iSCSI. Obtenez également des informations sur la méthode d'authentification CHAP que le système prend en charge. Si le protocole CHAP est activé, configurez-le pour vos initiateurs, en veillant à ce que les informations d'identification d'authentification CHAP correspondent à celles du stockage iSCSI.

ESXi prend en charge les méthodes d'authentification CHAP suivantes :

CHAP unidirectionnel: En authentification CHAP unidirectionnelle, la cible authentifie l'initiateur, mais l'initiateur n'authentifie pas la cible.
CHAP bidirectionnel: L'authentification CHAP bidirectionnelle ajoute un niveau supplémentaire de sécurité. Avec cette méthode, l'initiateur peut également authentifier la cible. VMware prend en charge cette méthode pour les adaptateurs iSCSI logiciels et dépendants du matériel, et pour les adaptateurs iSER.

Pour les adaptateurs iSCSI logiciels et dépendant du matériel, ainsi que pour les adaptateurs iSER, vous pouvez définir le CHAP unidirectionnel et le CHAP bidirectionnel pour chaque adaptateur ou au niveau cible. Le matériel indépendant iSCSI prend uniquement CHAP en charge au niveau de l'adaptateur.

Quand vous définissez les paramètres CHAP, indiquez un niveau de sécurité pour CHAP.

Note : Lorsque vous définissez le niveau de sécurité CHAP, le type de réponse de la baie de stockage dépend de l'implémentation CHAP de la baie et est spécifique du fournisseur. Pour plus d'informations sur le comportement de l'authentification CHAP dans différentes configurations d'initiateur et de cible, consultez la documentation de la baie.

Tableau 1. Niveau de sécurité CHAP
Niveau de sécurité CHAP	Description	Adaptateurs de stockage pris en charge
Aucun	L'hôte n'applique pas l'authentification CHAP. Cette authentification est activée. Utilisez cette option pour la désactiver.	Matériel iSCSI indépendant iSCSI logiciel Matériel iSCSI dépendant iSER
Utiliser le protocole CHAP unidirectionnel si la cible l'impose	L'hôte préfère une connexion non CHAP, mais peut utiliser une connexion CHAP si la cible l'exige.	iSCSI logiciel Matériel iSCSI dépendant iSER
Utiliser le protocole CHAP unidirectionnel sauf si la cible l'interdit	L'hôte préfère CHAP, mais peut utiliser des connexions non CHAP si la cible ne gère pas CHAP.	Matériel iSCSI indépendant iSCSI logiciel Matériel iSCSI dépendant iSER
Utiliser le protocole CHAP unidirectionnel	L'hôte exige une authentification CHAP réussie. La connexion échoue si la négociation CHAP échoue.	Matériel iSCSI indépendant iSCSI logiciel Matériel iSCSI dépendant iSER
Utiliser le CHAP bidirectionnel	L'hôte et la cible prennent en charge le CHAP bidirectionnel.	iSCSI logiciel Matériel iSCSI dépendant iSER

Configurer CHAP pour un adaptateur de stockage iSCSI ou iSER

Lorsque vous configurez le nom et le secret du protocole CHAP au niveau de l'adaptateur iSCSI/iSER, toutes les cibles reçoivent les mêmes paramètres de l'adaptateur. Par défaut, toutes les adresses de découverte ou cibles statiques héritent des paramètres CHAP que vous configurez au niveau de l'adaptateur.

Le nom CHAP ne peut pas dépasser 511 caractères alphanumériques et le secret CHAP ne peut pas comporter 255 caractères alphanumériques maximum. Certains adaptateurs, par exemple l'adaptateur QLogic, peuvent avoir des limites plus basses, 255 pour le nom CHAP et 100 pour le secret CHAP.

Conditions préalables

Avant de configurer des paramètres CHAP pour l'iSCSI logiciel ou matériel dépendant, déterminez s'il convient de configurer un CHAP unidirectionnel ou bidirectionnel. Les adaptateurs iSCSI matériels indépendants ne prennent pas en charge les CHAP bidirectionnels.
Vérifier les paramètres CHAP configurés côté stockage. Les paramètres que vous configurez doivent correspondre à ceux présents côté stockage.
Privilège nécessaire : Hôte.Configuration.Configuration de la partition de stockage

Procédure

Accédez à l'adaptateur de stockage iSCSI ou iSER.
1. Dans vSphere Client, accédez à l'hôte ESXi.
2. Cliquez sur l'onglet Configurer.
3. Sous Stockage, cliquez sur Adaptateurs de stockage, puis sélectionnez l'adaptateur (vmhba#) à configurer.
Cliquez sur l'onglet Propriétés, puis sur Modifier dans le panneau Authentification.
Spécifiez la méthode d'authentification.
- Aucun
- Utiliser le protocole CHAP unidirectionnel si la cible l'impose
- Utiliser le protocole CHAP unidirectionnel sauf si la cible l'interdit
- Utiliser le protocole CHAP unidirectionnel
- Utiliser le CHAP bidirectionnel. Pour configurer un CHAP bidirectionnel, vous devez sélectionner cette option.
Indiquez le nom du CHAP sortant.
Assurez-vous que le nom que vous indiquez concorde avec celui configuré côté stockage.
- Pour définir le nom CHAP sur le nom de la carte iSCSI, sélectionnez Utiliser nom initiateur.
- Pour définir le nom CHAP en n'utilisant pas le nom d'initiateur iSCSI, désélectionnez Utiliser nom initiateur et entrez un nom dans la zone de texte Nom.
Saisissez un secret pour le CHAP sortant destiné à être utilisé dans le processus d'authentification. Utilisez le même secret que celui que vous entrez côté stockage.
Si vous configurez un CHAP bidirectionnel, spécifiez les données d'identification du CHAP entrant.
Veillez à utiliser des secrets différents pour le CHAP sortant et le CHAP entrant.
Cliquez sur OK.
Scannez à nouveau l'adaptateur iSCSI

Résultats

Si vous modifiez les paramètres CHAP, ils sont utilisés pour de nouvelles sessions iSCSI. Pour les sessions existantes, les nouveaux paramètres ne sont pas utilisés tant que vous ne vous déconnectez pas et que vous ne vous reconnectez pas.

Que faire ensuite

Pour connaître les autres étapes de configuration que vous pouvez effectuer pour les adaptateurs de stockage iSCSI ou iSER, reportez-vous aux rubriques suivantes :

Configurer CHAP pour une cible

Si vous utilisez des adaptateurs iSCSI logiciels et dépendant du matériel, ou un adaptateur de stockage iSER, vous pouvez configurer des données d'identification CHAP différentes pour chaque adresse de découverte ou cible statique.

Le nom CHAP ne peut pas excéder 511 et le secret CHAP 255 caractères alphanumériques.

Conditions préalables

Avant de configurer les paramètres CHAP, déterminez s'il convient de configurer CHAP unidirectionnel ou bidirectionnel.
Vérifier les paramètres CHAP configurés côté stockage. Les paramètres que vous configurez doivent correspondre à ceux présents côté stockage.
Privilège nécessaire : Hôte.Configuration.Configuration de la partition de stockage

Procédure

Accédez à l'adaptateur de stockage iSCSI ou iSER.
1. Dans vSphere Client, accédez à l'hôte ESXi.
2. Cliquez sur l'onglet Configurer.
3. Sous Stockage, cliquez sur Adaptateurs de stockage, puis sélectionnez l'adaptateur (vmhba#) à configurer.
Cliquez sur Découverte dynamique ou Découverte statique.
Dans la liste des cibles disponibles, sélectionnez une cible à configurer et cliquez sur Authentification.
Désélectionnez Hériter des paramètres du parent et spécifiez la méthode d'authentification.
- Aucun
- Utiliser le protocole CHAP unidirectionnel si la cible l'impose
- Utiliser le protocole CHAP unidirectionnel sauf si la cible l'interdit
- Utiliser le protocole CHAP unidirectionnel
- Utiliser le CHAP bidirectionnel. Pour configurer un CHAP bidirectionnel, vous devez sélectionner cette option.
Indiquez le nom du CHAP sortant.
Assurez-vous que le nom que vous indiquez concorde avec celui configuré côté stockage.
- Pour définir le nom CHAP sur le nom de la carte iSCSI, sélectionnez Utiliser nom initiateur.
- Pour définir le nom CHAP en n'utilisant pas le nom d'initiateur iSCSI, désélectionnez Utiliser nom initiateur et entrez un nom dans la zone de texte Nom.
Saisissez un secret pour le CHAP sortant destiné à être utilisé dans le processus d'authentification. Utilisez le même secret que celui que vous entrez côté stockage.
Si vous configurez un CHAP bidirectionnel, spécifiez les données d'identification du CHAP entrant.
Veillez à utiliser des secrets différents pour le CHAP sortant et le CHAP entrant.
Cliquez sur OK.
Scannez à nouveau l'adaptateur de stockage.

Résultats

Si vous modifiez les paramètres CHAP, ils sont utilisés pour de nouvelles sessions iSCSI. Pour les sessions existantes, les nouveaux paramètres ne sont appliqués qu'une fois que vous vous êtes déconnecté puis reconnecté.