Configurando a Autenticação para host Linux

É possível configurar autenticação CHAP unidirecional para hosts Linux. Após você configurar autenticação unilateral que estiver funcionando para o seu host, é possível, opcionalmente, configurar autenticação de duas vias.

Antes de Iniciar

O sistema suporta dois métodos Challenge Handshake Authentication Protocol (CHAP):
  • Autenticação do CHAP unidirecional (o sistema autentica o inicializador iSCSI do host).
  • Autenticação CHAP de duas vias (o sistema e o inicializador autenticam um ao outro).
Nota: Segredos do CHAP que você seleciona para autenticação unilateral e autenticação de duas vias devem ser diferentes.

Procedimento

Para configurar a autenticação para um host Linux, siga estas etapas:

  1. Abra /etc/iscsi/iscsid.conf ou /etc/iscsid.conf usando um editor apropriado.
  2. Vá para o parágrafo configurações CHAP.

    O exemplo a seguir mostra a saída:

    Figura 1. configurações do CHAP para um host Linux
    #*************
    #CHAP Configurações
    #*************
    
    node.session.auth.authmethod conjunto de ativar a autenticação do CHAP #Para
    para CHAP. O padrão é Nenhum.
    #node.session.auth.authmethod = CHAP
    
    para configurar um nome de CHAP e senha para inicializador
    #authentication pelo destino(s), remova o comentário das seguintes linhas:
    #node.session.auth.username = username
    #node.session.auth.password = senha
    node.session.auth.username = iqn.suse.nmp.com
    node.session.auth.password = xxxxxxxxxxxxx
    #Para configurar um CHAP de usuário e senha para o destino(s)
    #authentication pelo iniciador, remova as seguintes linhas:
    #node.session.auth.username_in = username_in
    #node.session.auth.password_in = password_in
    node.session.auth.password_in = yyyyyyyyyyyyy
    ativar a autenticação CHAP #Para para uma sessão de descoberta para o destino
    discovery.sendtargets.auth.authmethod #set para CHAP. O padrão é Nenhum.
    #discovery.sendtargets.auth.authmethod = CHAP
    discovery.sendtargets.auth.authmethod = CHAP
    #Para configurar uma sessão de descoberta do CHAP do usuário e a senha para o inicializador
    #authentication pelo destino(s), remova o comentário das seguintes linhas:
    #discovery.sendtargets.auth.username = username
    #discovery.sendtargets.auth.password = senha
    
    #Para configurar uma sessão de descoberta do CHAP nome de usuário e senha para o destino(s)
    #authentication pelo iniciador, remova as seguintes linhas:
    #discovery.sendtargets.auth.username_in = username_in
    #discovery.sendtargets.auth.password_in = password_in
  3. Configure a autenticação.
    • Configure a autenticação unilateral:
      1. Configure um nome de usuário CHAP e senha para seu nome de inicializador.
        1. node.session.auth.authmethod = CHAP
        2. node.session.auth.username = <initiator IQN name>
        3. node.session.auth.password = <CHAP secret for host>
      2. Configure um nome de usuário CHAP e senha de sessão de descoberta para seu nome de inicializador.
        1. discovery.sendtargets.auth.authmethod = CHAP
        2. discovery.sendtargets.auth.username = <initiator IQN name>
        3. discovery.sendtargets.auth.password = <CHAP secret for host>
      3. Salve essas configurações. Você deve efetuar logout de quaisquer sessões atuais e redescobrir o destino de iSCSI do sistema para que o segredo do CHAP fique efetivo.
      Nota: No exemplo anterior, xxxxxxxxxxxxx é o segredo do CHAP para o host, e o iqn.suse.nmp.com é o nome IQN do inicializador. O nome IQN (nome qualificado de iSCSI) deve ser o mesmo nome que é utilizado para criar um objeto de host no sistema usando o comando mkhost.
    • Configure a autenticação de duas vias.
      Nota: Não é obrigatório para configurar a autenticação de duas vias. Antes de configurar para autenticação de duas vias, assegure que a autenticação unidirecional esteja configurada e esteja funcionando para o seu host.
      1. Edite password_in para o segredo do CHAP que você configura com o comando chsystem no sistema.
        1. Configure um nome de usuário CHAP e senha para o destino ou destinos.
          • node.session.auth.password_in = <CHAP secret for clustered system>
        2. Configure o nome de usuário e senha de CHAP da sessão de descoberta para o destino ou os destinos.
          • discovery.sendtargets.auth.password_in = <CHAP secret for clustered system>
      2. Salve essas configurações. Você deve efetuar logout de quaisquer sessões atuais e redescobrir o destino de iSCSI do sistema para que o segredo do CHAP fique efetivo.