リモート ターゲットへの接続に iSCSI テクノロジーで使用する IP ネットワークでは、転送するデータが保護されないため、接続のセキュリティを確保する必要があります。iSCSI の実装するプロトコルの 1 つに、CHAP (チャレンジ ハンドシェイク認証プロトコル) があります。CHAP は、ネットワーク上のターゲットにアクセスするイニシエータの正当性を検証します。

CHAP は、三方向ハンドシェイク アルゴリズムを使用してホストの ID を検証します。また該当する場合、ホストとターゲットが接続を確立するときに iSCSI ターゲットの ID を検証します。検証は、イニシエータとターゲットで共有する事前定義されたプライベート値、すなわち CHAP シークレットに基づいています。

ESXi は、アダプタ レベルで CHAP 認証をサポートします。この場合、すべてのターゲットが、iSCSI イニシエータから同じ CHAP 名およびシークレットを受信します。また、ソフトウェア iSCSI アダプタと依存型ハードウェア iSCSI アダプタ、および iSER アダプタの場合、ESXi はターゲットごとの CHAP 認証もサポートしています。これにより、ターゲットごとに異なる証明書を構成して、セキュリティのレベルを向上させることができます。

CHAP 認証方法の選択

ESXi は、すべてのタイプの iSCSI および iSER イニシエータに対して一方向 CHAP をサポートし、ソフトウェア iSCSI と依存型ハードウェア iSCSI、および iSER に対して双方向 CHAP をサポートします。

CHAP を構成する前に、iSCSI ストレージ システムで CHAP が有効になっているかどうかを確認します。また、システムがサポートする CHAP 認証方法についての情報を入手してください。CHAP が有効になっている場合、イニシエータ用に構成して、CHAP の認証情報が iSCSI ストレージの認証情報と一致することを確認します。

ESXi は、次の CHAP 認証方法をサポートします。
一方向 CHAP
一方向の CHAP 認証では、ターゲットはイニシエータを認証しますが、イニシエータはターゲットを認証しません。
双方向 CHAP
双方向の CHAP 認証は、セキュリティのレベルが強化されています。この認証方法では、イニシエータがターゲットを認証することもできます。この方法は、ソフトウェア iSCSI アダプタと依存型ハードウェア iSCSI アダプタ、および iSER アダプタに対してサポートされます。

ソフトウェア iSCSI アダプタと依存型ハードウェア iSCSI アダプタ、および iSER アダプタでは、一方向 CHAP および双方 CHAP を各アダプタに対して設定するか、ターゲット レベルで設定できます。独立型ハードウェア iSCSI は、アダプタ レベルでのみ CHAP をサポートします。

CHAP パラメータを設定する場合、CHAP のセキュリティ レベルを指定します。

注: CHAP のセキュリティ レベルを指定する場合、ストレージ アレイの応答方法は、そのアレイの CHAP の実装によって異なり、また、ベンダーによって異なります。さまざまなイニシエータおよびターゲット構成における CHAP 認証の動作については、アレイのドキュメントを参照してください。
表 1. CHAP のセキュリティ レベル
CHAP のセキュリティ レベル 説明 サポート対象のストレージ アダプタ
なし ホストは CHAP 認証を使用しません。認証が有効になっている場合は、このオプションを使用して無効にしてください。

独立型ハードウェア iSCSI

ソフトウェア iSCSI

依存型ハードウェア iSCSI

iSER

ターゲットによって要求されている場合は一方向 CHAP を使用する ホストは CHAP 以外の接続を優先しますが、ターゲットが要求する場合は CHAP 接続を使用できます。

ソフトウェア iSCSI

依存型ハードウェア iSCSI

iSER

ターゲットで禁止されていない場合は一方向 CHAP を使用する ホストは CHAP を優先しますが、ターゲットが CHAP をサポートしていない場合は CHAP 以外の接続を使用できます。

独立型ハードウェア iSCSI

ソフトウェア iSCSI

依存型ハードウェア iSCSI

iSER

一方向 CHAP を使用する ホストは正常な CHAP 認証を要求します。CHAP ネゴシエーションに失敗した場合、接続に失敗します。

独立型ハードウェア iSCSI

ソフトウェア iSCSI

依存型ハードウェア iSCSI

iSER

双方向 CHAP を使用する ホストおよびターゲットは双方向 CHAP をサポートしています。

ソフトウェア iSCSI

依存型ハードウェア iSCSI

iSER

iSCSI または iSER ストレージ アダプタの CHAP の設定

iSCSI または iSER アダプタ レベルで CHAP 名およびシークレットを設定すると、すべてのターゲットがアダプタから同じパラメータを受け取ります。デフォルトでは、すべての検出アドレスまたは静的ターゲットは、アダプタ レベルで設定された CHAP パラメータを継承します。

CHAP 名は英数字で 511 文字を超えないようにし、CHAP シークレットは英数字で 255 文字を超えないようにします。一部のアダプタでは、この上限の値がさらに小さい場合があります。たとえば、QLogic アダプタの上限値は、CHAP 名では 255 文字、CHAP シークレットでは 100 文字です。

前提条件

  • ソフトウェア iSCSI または依存型ハードウェア iSCSI の CHAP パラメータを設定する前に、一方向 CHAP を構成するか、双方向 CHAP を構成するかを決めます。独立型ハードウェア iSCSI アダプタは、双方向 CHAP をサポートしません。
  • ストレージ側で設定された CHAP パラメータを確認します。設定するパラメータは、ストレージ側のものと一致している必要があります。
  • 必要な権限:ホスト.構成.ストレージ パーティション構成

手順

  1. iSCSI または iSER ストレージ アダプタに移動します。
    1. vSphere Client で、ESXi ホストに移動します。
    2. [設定] タブをクリックします。
    3. [ストレージ] で、[ストレージ アダプタ] をクリックし、設定するアダプタ (vmhba#) を選択します。
  2. [プロパティ] タブをクリックし、[認証] パネルの [編集] をクリックします。
  3. 認証方法を指定します。
    • [なし]
    • [ターゲットで要求された場合は一方向 CHAP を使用]
    • [ターゲットで禁止されていない場合は一方向 CHAP を使用]
    • [一方向 CHAP を使用]
    • [双方向 CHAP を使用する]。双方向 CHAP を構成するには、このオプションを選択する必要があります。
  4. 送信 CHAP 名を指定します。

    指定する名前が、ストレージ側で構成した名前と一致するようにします。

    • iSCSI アダプタ名に CHAP 名を設定するには、[イニシエータ名の使用] を選択します。
    • CHAP 名を iSCSI イニシエータ名以外の名前に設定するには、[イニシエータ名の使用] を選択解除し、[名前] テキスト ボックスに名前を入力します。
  5. 認証の一部として、使用する送信 CHAP シークレットを入力します。ストレージ側で入力するのと同じシークレットを使用してください。
  6. 双方向 CHAP を構成する場合は、受信する CHAP 証明書を指定します。
    送信 CHAP と受信 CHAP には、別々のシークレットを使用してください。
  7. [OK] をクリックします。
  8. iSCSI アダプタを再スキャンします。

結果

CHAP のパラメータを変更した場合、そのパラメータは新しい iSCSI セッションで使用されます。既存のセッションでは、ログアウトして再ログインするまで、新しい設定は使用されません。

次のタスク

iSCSI ストレージ アダプタまたは iSER ストレージ アダプタに実行できるその他の構成手順については、次のトピックを参照してください。

ターゲットの CHAP の設定

ソフトウェア iSCSI アダプタと依存型ハードウェア iSCSI アダプタ、または iSER ストレージ アダプタを使用する場合、検出アドレスまたは静的ターゲットごとに異なる CHAP 証明書を構成できます。

CHAP 名は英数字で 511 文字以内に、CHAP シークレットは英数字で 255 文字以内にしてください。

前提条件

  • CHAP パラメータを設定する前に、一方向 CHAP を構成するか、双方向 CHAP を構成するかを決定します。
  • ストレージ側で構成された CHAP パラメータを確認します。構成するパラメータは、ストレージ側のものと一致している必要があります。
  • 必要な権限:ホスト.構成.ストレージ パーティション構成

手順

  1. iSCSI または iSER ストレージ アダプタに移動します。
    1. vSphere Client で、ESXi ホストに移動します。
    2. [設定] タブをクリックします。
    3. [ストレージ] で、[ストレージ アダプタ] をクリックし、設定するアダプタ (vmhba#) を選択します。
  2. [動的検出] または [静的検出] をクリックします。
  3. 使用可能なターゲットのリストから、構成するターゲットを選択し、[認証] をクリックします。
  4. [親から継承] を選択解除し、認証方法を指定します。
    • [なし]
    • [ターゲットで要求された場合は一方向 CHAP を使用]
    • [ターゲットで禁止されていない場合は一方向 CHAP を使用]
    • [一方向 CHAP を使用]
    • [双方向 CHAP を使用する]。双方向 CHAP を構成するには、このオプションを選択する必要があります。
  5. 送信 CHAP 名を指定します。

    指定する名前が、ストレージ側で構成した名前と一致するようにします。

    • iSCSI アダプタ名に CHAP 名を設定するには、[イニシエータ名の使用] を選択します。
    • CHAP 名を iSCSI イニシエータ名以外の名前に設定するには、[イニシエータ名の使用] を選択解除し、[名前] テキスト ボックスに名前を入力します。
  6. 認証の一部として、使用する送信 CHAP シークレットを入力します。ストレージ側で入力するのと同じシークレットを使用してください。
  7. 双方向 CHAP を構成する場合は、受信する CHAP 証明書を指定します。
    送信 CHAP と受信 CHAP には、別々のシークレットを使用してください。
  8. [OK] をクリックします。
  9. ストレージ アダプタを再スキャンします。

結果

CHAP のパラメータを変更した場合、そのパラメータは新しい iSCSI セッションで使用されます。既存のセッションでは、ログアウトしてログインし直すまで、新しい設定は使用されません。