iSCSI 主机的 CHAP 认证

可以使用提问握手认证协议 (CHAP) 来认证访问存储系统的主机。

启用 CHAP 支持时,主机由存储系统进行安全认证。通过验证主机/存储器交互中是否涉及唯一认证的相关方,可提升总体系统安全性。

定义

CHAP 认证
针对 iSCSI 启动器的认证过程,即由目标通过将启动器提交的密钥散列与该目标上存储的针对启动器密钥计算得出的散列进行比较来完成此过程。
启动器
主机。
单向(单向 CHAP)
CHAP 认证,在这种认证中,由目标认证启动器但不能进行反向认证。

受支持的配置

CHAP 认证类型
单向认证方式,这表示启动器(主机)必须由存储系统进行认证。
MD5
CHAP 认证使用 MD5 散列算法。
访问范围
CHAP 认证的启动器有权通过定义相应映射(可能会限制对某些卷的访问)来访问存储系统。

认证方式

支持以下认证方式:
无(缺省值)
在此方式下,启动器不是由存储系统进行认证。
CHAP(单向)
在此方式下,启动器由存储系统进行认证,该认证基于相关启动器提交的散列,此散列将与根据存储在 IBM XIV 存储系统上的启动器密钥计算得出的散列进行比较。
将认证方式从“无”更改为 CHAP 需要进行主机认证。将方式从 CHAP 更改为“无”则无需认证。

符合 RFC 3720

CHAP 认证过程符合 CHAP 需求,如 IETF RFC 3720 中所定义。
密钥长度
密钥必须是 96 到 128 位之间。
启动器密钥唯一性
在定义或更新启动器(主机)密钥时,系统会将所输入密钥的散列与系统存储的现有密钥进行比较,并确定该密钥是否唯一。如果不唯一,那么系统会向用户显示一条警告,但是不会阻止该命令成功完成。