AIX ホストの認証のセットアップ

特定のガイドラインおよびタスクに従うことにより、AIX® ホストをシステムでの認証用に正しくセットアップすることができます。

始める前に

システムは iSCSI に対して片方向認証と片方向認証の両方をサポートしますが、AIX ソフトウェア・イニシエーターは現在、片方向認証のみをサポートしています。システム・ターゲットがイニシエーターを認証します。

CHAP 設定は、ホストの /etc/iscsi/targets ファイルで定義されます。 AIX イニシエーターまたはホスト・バス・アダプター (HBA) は、常にその iSCSI 修飾名 (IQN) を CHAP ユーザー名として使用します。

このタスクについて

AIX ホストで認証をセットアップするには、以下の手順を完了します。

手順

  1. 任意のエディターで /etc/iscsi/targets ファイルを開きます。
  2. ターゲット定義を含む行ごとに、イニシエーターの CHAP シークレットを引用符に入れて付加します。
    192.168.1.7      3260     iqn.1986-03.com.ibm:2145.sahyadri.node1 "secret"

    ここで設定する CHAP シークレット値は、このホストに関連したホスト・オブジェクトについて、システムで構成された値と一致する必要があります。 システムはイニシエーター単位で認証するので、CHAP シークレットは、特定クラスター化システム上のすべてのターゲットで同一です。

    /etc/iscsi/targets ファイルの例を 図 1 に示します。
    図 1. AIX ホストの CHAP 設定
    #ChapSecret             = %x22*( any character ) %x22
    #                       ;   "                      "
    #                       ; ChapSecret is a string enclosed in double quotes. The
    #                       ; quotes are required, but are not part of the secret.
    #
    #EXAMPLE 1: iSCSI Target without CHAP(MD5) authentication
    #      Assume the target is at address 192.168.3.2,
    #      the valid port is 5003
    #      the name of the target is iqn.com.ibm-4125-23WTT26
    #The target line would look like:
    #192.168.3.2 5003 iqn.com.ibm-4125-23WWT26
    #
    #EXAMPLE 2: iSCSI Target with CHAP(MD5) authentication
    #      Assume the target is at address 10.2.1.105,
    #      the valid port is 3260
    #      the name of the target is iqn.com.ibm-K167-42.fc1a
    #      the CHAP secret is "This is my password."
    #The target line would look like:
    #10.2.1.105 3260 iqn.com.ibm-K167-42.fc1a "This is my password."
    #
    #EXAMPLE 3: iSCSI Target with CHAP(MD5) authentication and line continuation
    #      Assume the target is at address 10.2.1.106,
    #      the valid port is 3260
    #      the name of the target is iqn.com.ibm:00.fcd0ab21.shark128
    #      the CHAP secret is "123ismysecretpassword.fc1b"
    #The target line would look like:
    #10.2.1.105 3260 iqn.2003-01.com.ibm:00.fcd0ab21.shark128
    
    
    192.168.1.41 3260 iqn.1986-03.com.ibm:2145.pahar.dvt110702
    192.168.2.43 3260 iqn.1986-03.com.ibm:2145.moscow.dvt110706 "svcchapsecret"

    上記の例の 2 つのターゲットは、異なる クラスター化システムのメンバーです。 一方のターゲットは、イニシエーターを認証するように構成され、もう一方のターゲットは、イニシエーターを認証するように構成されません。

    ターゲット iqn.1986-03.com.ibm:2076.pahar.dvt110702 は、認証用に構成されていません。 したがって、「CHAP シークレット」フィールドはブランクです。ターゲット iqn.1986-03.com.ibm:2076.moscow.dvt110706 は、認証用に構成されています。したがって、「CHAP シークレット」フィールドは、認証用に svcchapsecret に設定されています。