É possível configurar a autenticação CHAP unidirecional para hosts Linux. Depois de configurar a autenticação unilateral que está funcionando para seu host, é possível, opcionalmente, configurar a autenticação bidirecional.
Antes de Iniciar
O sistema suporta dois métodos Challenge Handshake Authentication Protocol (CHAP):
Autenticação CHAP unilateral (o sistema autentica o inicializador iSCSI do host).
Autenticação CHAP em duas vias (ambos o sistema e o inicializador autenticam um ao outro).
Nota: Os segredos do CHAP que você seleciona para autenticação
unilateral e autenticação bidirecional devem ser diferentes.
Procedimento
Para configurar a autenticação para um host Linux, siga estas etapas:
Abra /etc/iscsi/iscsid.conf ou /etc/iscsid.conf
usando um editor apropriado.
Vá para o parágrafo de configurações do CHAP.
O exemplo a seguir
mostra a saída:
Figura 1. CHAP settings
for a Linux host
#*************
#CHAP Settings
#*************
#To enable CHAP authentication set node.session.auth.authmethod
#to CHAP. The default is None.
#node.session.auth.authmethod = CHAP
#To set a CHAP username and password for initiator
#authentication by the target(s), uncomment the following lines:
#node.session.auth.username = username
#node.session.auth.password = password
node.session.auth.username = rhel_username
node.session.auth.password = xxxxxxxxxxxxx
#To set a CHAP username and password for target(s)
#authentication by the initiator, uncomment the following lines:
#node.session.auth.username_in = username_in
#node.session.auth.password_in = password_in
node.session.auth.password_in = yyyyyyyyyyyyy
#To enable CHAP authentication for a discovery session to the target
#set discovery.sendtargets.auth.authmethod to CHAP. The default is None.
#discovery.sendtargets.auth.authmethod = CHAP
discovery.sendtargets.auth.authmethod = CHAP
#To set a discovery session CHAP username and password for the initiator
#authentication by the target(s), uncomment the following lines:
#discovery.sendtargets.auth.username = username
#discovery.sendtargets.auth.password = password
#To set a discovery session CHAP username and password for target(s)
#authentication by the initiator, uncomment the following lines:
#discovery.sendtargets.auth.username_in = username_in
#discovery.sendtargets.auth.password_in = password_in
Configurando a autenticação.
Configurando a autenticação unilateral:
Configure um nome de usuário e uma senha do CHAP para seu nome inicializador.
node.session.auth.authmethod = CHAP
node.session.auth.username = <initiator's
user name>
node.session.auth.password = <CHAP secret for
host>
Configure um nome de usuário e uma senha da sessão de descoberta do CHAP para seu nome inicializador.
discovery.sendtargets.auth.authmethod = CHAP
discovery.sendtargets.auth.username =
<initiator's user name>
discovery.sendtargets.auth.password = <CHAP secret for
host>
Salvar estas configurações. Você deve efetuar logout
de quaisquer sessões atuais e redescobrir o destino de iSCSI do
sistema para que o segredo do CHAP seja efetivo.
Nota: No exemplo
anterior, xxxxxxxxxxxxx é o segredo do CHAP para o host, e
rhel_username é o nome do IQN do inicializador. Esse nome de usuário deve ter o mesmo valor que o configurado com o comando chhost (campo iscsiusername) para este host.
Configurando a autenticação bidirecional.
Nota: Não é obrigatório configurar
a autenticação bidirecional.
Antes de configurar para autenticação de duas vias, assegure que a autenticação unidirecional esteja configurada
e esteja funcionando para o seu host.
Edite a password_in do segredo do CHAP
configurado com o comando chsystem no sistema.
Configure um nome de usuário e uma senha do CHAP para o(s) destino(s).
node.session.auth.password_in = <CHAP secret for clustered
system>
Configure um nome de usuário e uma senha da sessão de descoberta do CHAP para o(s)
destino(s).
discovery.sendtargets.auth.password_in = <CHAP secret for clustered
system>
Salvar estas configurações. Você deve efetuar logout
de quaisquer sessões atuais e redescobrir o destino de iSCSI do
sistema para que o segredo do CHAP seja efetivo.