Le reti IP utilizzate dalla tecnologia iSCSI per connettere l'host ESXi alle destinazioni remote non proteggono i dati che trasportano. Di conseguenza, è necessario garantire la sicurezza della connessione. Uno dei protocolli implementati da iSCSI è il protocollo CHAP (Challenge Handshake Authentication Protocol). Il protocollo CHAP verifica la legittimità degli iniziatori ESXi che accedono alle destinazioni nella rete.

Il CHAP utilizza un algoritmo di handshake a tre vie per verificare l'identità dell'host e, se applicabile, della destinazione iSCSI quando l'host e la destinazione stabiliscono una connessione. La verifica si basa su un valore privato predefinito, o segreto CHAP, che l'iniziatore e la destinazione condividono.

ESXi supporta l'autenticazione CHAP a livello di scheda. In questo caso, tutte le destinazioni ricevono lo stesso nome e segreto CHAP dall'iniziatore iSCSI. Per le schede iSCSI hardware software e dipendenti e per le schede iSER, ESXi supporta anche l'autenticazione CHAP per destinazione, che consente di configurare credenziali diverse per ciascuna destinazione per ottenere un maggiore livello di sicurezza.

Selezione del metodo di autenticazione CHAP

ESXi supporta il protocollo CHAP unidirezionale per tutti i tipi di iniziatori iSCSI e iSER, nonché il protocollo CHAP bidirezionale per il software e l'iSCSI hardware dipendente e per iSER.

Prima di configurare il protocollo CHAP, verificare che CHAP sia attivato nel sistema di storage iSCSI. Ottenere inoltre informazioni sul metodo di autenticazione CHAP supportato dal sistema. Se il protocollo CHAP è attivato, configurarlo per gli iniziatori, assicurandosi che le credenziali di autenticazione CHAP corrispondano alle credenziali nello storage iSCSI.

ESXi supporta i seguenti metodi di autenticazione CHAP:
CHAP unidirezionale
Nell'autenticazione CHAP unidirezionale, la destinazione autentica l'iniziatore, ma l'iniziatore non autentica la destinazione.
CHAP bidirezionale
L'autenticazione CHAP bidirezionale aggiunge un ulteriore livello di sicurezza. Con questo metodo, l'iniziatore può anche autenticare la destinazione. VMware supporta questo metodo per le schede iSCSI software e hardware dipendenti, nonché per le schede iSER.

Per le schede iSCSI hardware software e dipendenti e per le schede iSER, è possibile impostare il CHAP unidirezionale e il CHAP bidirezionale per ogni scheda o a livello di destinazione. L'iSCSI hardware indipendente supporta il protocollo CHAP solo a livello di scheda.

Quando si impostano i parametri CHAP, specificare un livello di sicurezza per il protocollo CHAP.

Nota: Quando si specifica il livello di sicurezza CHAP, la modalità di risposta dell'array di storage dipende dall'implementazione CHAP dell'array ed è specifica del vendor. Per informazioni sul comportamento dell'autenticazione CHAP in configurazioni di iniziatore e destinazione diverse, consultare la documentazione dell'array.
Tabella 1. Livello di sicurezza CHAP
Livello di sicurezza CHAP Descrizione Schede di storage supportate
Nessuno L'host non utilizza l'autenticazione CHAP. Se l'autenticazione è attivata, utilizzare questa opzione per disattivarla.

iSCSI hardware indipendente

iSCSI software

iSCSI hardware dipendente

iSER
Utilizza CHAP unidirezionale se richiesto dalla destinazione L'host preferisce una connessione non CHAP, ma può utilizzare una connessione CHAP se richiesto dalla destinazione.

iSCSI software

iSCSI hardware dipendente

iSER
Utilizza CHAP unidirezionale se non vietato dalla destinazione L'host preferisce il protocollo CHAP, ma può utilizzare connessioni non CHAP se la destinazione non supporta il protocollo CHAP.

iSCSI hardware indipendente

iSCSI software

iSCSI hardware dipendente

iSER
Utilizza CHAP unidirezionale L'host richiede un'autenticazione CHAP riuscita. La connessione non riesce se la negoziazione CHAP non riesce.

iSCSI hardware indipendente

iSCSI software

iSCSI hardware dipendente

iSER
Utilizza CHAP bidirezionale L'host e il protocollo CHAP di destinazione supportano il CHAP bidirezionale.

iSCSI software

iSCSI hardware dipendente

iSER

Configurazione del protocollo CHAP per la scheda di storage iSCSI o iSER

Quando si configura il nome CHAP e il segreto a livello della scheda iSCSI/iSER, tutte le destinazioni ricevono gli stessi parametri dalla scheda. Per impostazione predefinita, tutti gli indirizzi di individuazione o le destinazioni statiche ereditano i parametri CHAP impostati a livello di scheda.

Il nome CHAP non può superare 511 caratteri alfanumerici e il segreto CHAP non può superare 255 caratteri alfanumerici. Alcune schede, ad esempio quelle QLogic, potrebbero avere limiti inferiori, come 255 caratteri per il nome CHAP e 100 caratteri per il segreto CHAP.

Prerequisiti

  • Prima di configurare i parametri CHAP per il software o l'iSCSI dell'hardware dipendente, determinare se configurare il CHAP unidirezionale o bidirezionale. Le schede iSCSI hardware indipendenti non supportano il CHAP bidirezionale.
  • Verificare i parametri CHAP configurati sul lato storage. I parametri configurati devono corrispondere a quelli sul lato storage.
  • Privilegio necessario: Host.Configurazione.Configurazione partizione di storage

Procedura

  1. Passare alla scheda di storage iSCSI o iSER.
    1. In vSphere Client, passare all'host ESXi.
    2. Fare clic sulla scheda Configura.
    3. In Storage, fare clic su Schede di storage, quindi selezionare la scheda (vmhba#) da configurare.
  2. Fare clic sulla scheda Proprietà e fare clic su Modifica nel pannello Autenticazione.
  3. Specificare il metodo di autenticazione.
    • Nessuno
    • Utilizza CHAP unidirezionale se richiesto dalla destinazione
    • Utilizza CHAP unidirezionale se non vietato dalla destinazione
    • Utilizza CHAP unidirezionale
    • Utilizza CHAP bidirezionale Per configurare il protocollo CHAP bidirezionale, è necessario selezionare questa opzione.
  4. Specificare il nome CHAP in uscita.

    Assicurarsi che il nome specificato corrisponda al nome configurato sul lato storage.

    • Per impostare il nome CHAP sul nome della scheda iSCSI, selezionare Usa nome iniziatore.
    • Per impostare il nome CHAP su un nome diverso da quello dell'iniziatore iSCSI, deselezionare Usa nome iniziatore quindi immettere un nome nella casella di testo Nome.
  5. Immettere un segreto CHAP in uscita da utilizzare come parte dell'autenticazione. Utilizzare lo stesso segreto immesso sul lato storage.
  6. Se si configura il protocollo CHAP bidirezionale, specificare le credenziali CHAP in entrata.
    Assicurarsi di utilizzare segreti diversi per il CHAP in uscita e in entrata.
  7. Fare clic su OK.
  8. Ripetere la scansione dell'adattatore iSCSI.

risultati

Se si modificano i parametri CHAP, vengono utilizzati per le nuove sessioni iSCSI. Per le sessioni esistenti, le nuove impostazioni non vengono utilizzate finché non si esce e quindi si accede di nuovo.

Operazioni successive

Per gli altri passaggi di configurazione che è possibile eseguire per le schede di storage iSCSI o iSER, vedere gli argomenti seguenti:

Configurazione di CHAP per la destinazione

Se si utilizzano schede iSCSI hardware software e dipendenti o una scheda di storage iSER, è possibile configurare credenziali CHAP diverse per ogni indirizzo di individuazione o destinazione statica.

Il nome CHAP non può superare 511 caratteri alfanumerici e il segreto CHAP non può superare i 255.

Prerequisiti

  • Prima di configurare i parametri CHAP, determinare se configurare il chap unidirezionale o bidirezionale.
  • Verificare i parametri CHAP configurati sul lato storage. I parametri configurati devono corrispondere a quelli sul lato storage.
  • Privilegio necessario: Host.Configurazione.Configurazione partizione di storage

Procedura

  1. Passare alla scheda di storage iSCSI o iSER.
    1. In vSphere Client, passare all'host ESXi.
    2. Fare clic sulla scheda Configura.
    3. In Storage, fare clic su Schede di storage, quindi selezionare la scheda (vmhba#) da configurare.
  2. Fare clic su Esplorazione dinamica oppure su Esplorazione statica.
  3. Nell'elenco delle destinazioni disponibili, selezionare una destinazione da configurare e fare clic su Autenticazione.
  4. Deselezionare Eredita impostazioni dall'elemento principale e specificare il metodo di autenticazione.
    • Nessuno
    • Utilizza CHAP unidirezionale se richiesto dalla destinazione
    • Utilizza CHAP unidirezionale se non vietato dalla destinazione
    • Utilizza CHAP unidirezionale
    • Utilizza CHAP bidirezionale Per configurare il protocollo CHAP bidirezionale, è necessario selezionare questa opzione.
  5. Specificare il nome CHAP in uscita.

    Assicurarsi che il nome specificato corrisponda al nome configurato sul lato storage.

    • Per impostare il nome CHAP sul nome della scheda iSCSI, selezionare Usa nome iniziatore.
    • Per impostare il nome CHAP su un nome diverso da quello dell'iniziatore iSCSI, deselezionare Usa nome iniziatore quindi immettere un nome nella casella di testo Nome.
  6. Immettere un segreto CHAP in uscita da utilizzare come parte dell'autenticazione. Utilizzare lo stesso segreto immesso sul lato storage.
  7. Se si configura il protocollo CHAP bidirezionale, specificare le credenziali CHAP in entrata.
    Assicurarsi di utilizzare segreti diversi per il CHAP in uscita e in entrata.
  8. Fare clic su OK.
  9. Eseguire nuovamente la scansione della scheda di storage.

risultati

Se si modificano i parametri CHAP, vengono utilizzati per le nuove sessioni iSCSI. Per le sessioni esistenti, le nuove impostazioni non vengono utilizzate finché non si esce e si effettua nuovamente l'accesso.