3.15.3 iSCSIポートでのCHAP認証の使用
CHAP(Challenge Handshake Authentication Protocol)は、ストレージシステム(target)がサーバのiSCSI Initiatorを認証するiSCSI認証方法(オプション)です。
2種類のCHAP認証があります。
-
単方向CHAP
-
双方向CHAP
単方向CHAPでは、ストレージシステムはCHAPシークレット経由でサーバのiSCSI Initiatorより発行されたすべてのアクセス要求を認証します。
単方向CHAP認証を設定するときは、ストレージシステムでCHAPシークレットを入力し、サーバの各iSCSI Initiatorがストレージシステムにアクセスしようとするたびに、シークレットを送信するように構築します。
双方向CHAPでは、ストレージシステムとiSCSI Initiatorは双方で認証します。双方向CHAPを設定するときは、ストレージシステムがサーバに接続を確立するよう送信する必要があるCHAPシークレットを用いてiSCSI Initiatorを構築します。双方向認証処理中、サーバとストレージシステムは接続が許可される前に相手側の認証を受けなければならない情報を送信し続けます。
CHAPはオプション機能なので、iSCSIを使うときに必ずしも必要ではありません。ただし、CHAP認証の構築をしない場合、ストレージシステムと同じIPネットワークに接続されたどのサーバからでも、ストレージシステムへの読み書きができるので注意してください。
- メモ
-
ストレージシステムでCHAP認証を有効にするには、iSCSI Initiatorを用いてサーバを構築してください。ホストに接続しているHBAを交換するときは、CHAPのiSCSI Name設定を変更してください。MTUサイズを変更する場合は、ストレージシステム側とスイッチ/ホスト側で設定を再設定してください。
- 〈この項の構成〉