ESXi ホストをリモート ターゲットに接続する際に iSCSI テクノロジーで使用される IP ネットワークは、転送されるデータを保護しません。したがって、接続のセキュリティはユーザーが確保する必要があります。iSCSI が実装するプロトコルの 1 つに、CHAP (Challenge Handshake Authentication Protocol) があります。CHAP プロトコルは、ネットワーク上のターゲットにアクセスする ESXi イニシエータの正当性を検証します。
CHAP は、三方向ハンドシェイク アルゴリズムを使用してホストの ID を検証します。また該当する場合、ホストとターゲットが接続を確立するときに iSCSI ターゲットの ID を検証します。検証は、イニシエータとターゲットで共有する事前定義されたプライベート値、すなわち CHAP シークレットに基づいています。
ESXi は、アダプタ レベルで CHAP 認証をサポートします。この場合、すべてのターゲットが、iSCSI イニシエータから同じ CHAP 名およびシークレットを受信します。また、ソフトウェア iSCSI アダプタと依存型ハードウェア iSCSI アダプタ、および iSER アダプタの場合、ESXi はターゲットごとの CHAP 認証もサポートしています。これにより、ターゲットごとに異なる証明書を構成して、セキュリティのレベルを向上させることができます。
CHAP 認証方法の選択
ESXi は、すべてのタイプの iSCSI および iSER イニシエータに対して一方向 CHAP をサポートし、ソフトウェア iSCSI と依存型ハードウェア iSCSI、および iSER に対して双方向 CHAP をサポートします。
CHAP を構成する前に、iSCSI ストレージ システムで CHAP が有効になっているかどうかを確認します。また、システムがサポートする CHAP 認証方法についての情報を入手してください。CHAP が有効になっている場合、イニシエータ用に構成して、CHAP の認証情報が iSCSI ストレージの認証情報と一致することを確認します。
ソフトウェア iSCSI アダプタと依存型ハードウェア iSCSI アダプタ、および iSER アダプタでは、一方向 CHAP および双方 CHAP を各アダプタに対して設定するか、ターゲット レベルで設定できます。独立型ハードウェア iSCSI は、アダプタ レベルでのみ CHAP をサポートします。
CHAP パラメータを設定する場合、CHAP のセキュリティ レベルを指定します。
CHAP のセキュリティ レベル | 説明 | サポート対象のストレージ アダプタ |
---|---|---|
なし | ホストは CHAP 認証を使用しません。認証が有効になっている場合は、このオプションを使用して無効にしてください。 | 独立型ハードウェア iSCSI ソフトウェア iSCSI 依存型ハードウェア iSCSI iSER |
ターゲットによって要求されている場合は一方向 CHAP を使用する | ホストは CHAP 以外の接続を優先しますが、ターゲットが要求する場合は CHAP 接続を使用できます。 | ソフトウェア iSCSI 依存型ハードウェア iSCSI iSER |
ターゲットで禁止されていない場合は一方向 CHAP を使用する | ホストは CHAP を優先しますが、ターゲットが CHAP をサポートしていない場合は CHAP 以外の接続を使用できます。 | 独立型ハードウェア iSCSI ソフトウェア iSCSI 依存型ハードウェア iSCSI iSER |
一方向 CHAP を使用する | ホストは正常な CHAP 認証を要求します。CHAP ネゴシエーションに失敗した場合、接続に失敗します。 | 独立型ハードウェア iSCSI ソフトウェア iSCSI 依存型ハードウェア iSCSI iSER |
双方向 CHAP を使用する | ホストおよびターゲットは双方向 CHAP をサポートしています。 | ソフトウェア iSCSI 依存型ハードウェア iSCSI iSER |
iSCSI または iSER ストレージ アダプタの CHAP の設定
iSCSI または iSER アダプタ レベルで CHAP 名およびシークレットを設定すると、すべてのターゲットがアダプタから同じパラメータを受け取ります。デフォルトでは、すべての検出アドレスまたは静的ターゲットは、アダプタ レベルで設定された CHAP パラメータを継承します。
前提条件
- ソフトウェア iSCSI または依存型ハードウェア iSCSI の CHAP パラメータを設定する前に、一方向 CHAP を構成するか、双方向 CHAP を構成するかを決めます。独立型ハードウェア iSCSI アダプタは、双方向 CHAP をサポートしません。
- ストレージ側で設定された CHAP パラメータを確認します。設定するパラメータは、ストレージ側のものと一致している必要があります。
- 必要な権限:
手順
結果
CHAP のパラメータを変更した場合、そのパラメータは新しい iSCSI セッションで使用されます。既存のセッションでは、ログアウトして再ログインするまで、新しい設定は使用されません。
次のタスク
ターゲットの CHAP の設定
ソフトウェア iSCSI アダプタと依存型ハードウェア iSCSI アダプタ、または iSER ストレージ アダプタを使用する場合、検出アドレスまたは静的ターゲットごとに異なる CHAP 証明書を構成できます。
前提条件
- CHAP パラメータを設定する前に、一方向 CHAP を構成するか、双方向 CHAP を構成するかを決定します。
- ストレージ側で構成された CHAP パラメータを確認します。構成するパラメータは、ストレージ側のものと一致している必要があります。
- 必要な権限:
手順
結果
CHAP のパラメータを変更した場合、そのパラメータは新しい iSCSI セッションで使用されます。既存のセッションでは、ログアウトしてログインし直すまで、新しい設定は使用されません。