iSCSI ホストの CHAP 認証
ストレージ・システムにアクセスするホストを、チャレンジ・ハンドシェーク認証プロトコル (CHAP) を使用して認証できます。
CHAP サポートが有効になると、ホストは、ストレージ・システムによって安全に認証されます。これにより、認証済みのパーティーのみがホスト・ストレージ対話に関係していることを検査することで、全体のシステム・セキュリティーが強化されます。
定義
- CHAP 認証
- イニシエーターがサブミットする機密ハッシュと、ターゲット上に保管されるそのイニシエーターの機密事項の計算済みハッシュとを比較することによる、ターゲットによる iSCSI イニシエーターの認証プロセス。
- イニシエーター
- ホスト。
- 一方向 (単一方向 CHAP)
- イニシエーターがターゲットによって認証される CHAP 認証。ただし、ターゲットがイニシエーターによって認証されることはありません。
サポートされる構成
- CHAP 認証タイプ
- 一方向 (単一方向) 認証方式。イニシエーター (ホスト) がストレージ・システムによって認証される必要があることを意味します。
- MD5
- CHAP 認証は MD5 ハッシュ・アルゴリズムを使用します。
- アクセス有効範囲
- CHAP 認証済みイニシエーターは、一部のボリュームへのアクセスを制限する可能性があるマッピングを定義することによってストレージ・システムへのアクセス権限が付与されます。
認証方式
以下の認証方式がサポートされています。
- None (デフォルト)
- この方式では、イニシエーターはストレージ・システムによって認証されません。
- CHAP (一方向)
- この方式では、イニシエーターは、関係のあるイニシエーターのサブミット済みハッシュに基づいてストレージ・システムによって認証されます。このハッシュは、IBM XIV Storage System 上に保管されているイニシエーターの機密事項から計算されたハッシュと比較されます。
RFC 3720 の順守
CHAP 認証手順は、IETF RFC 3720 に定義されている CHAP 要件を順守します。
- 機密事項の長さ
- 秘密鍵は 96 ビットから 128 ビットの間でなければなりません。
- イニシエーターの機密事項の固有性
- イニシエーター (ホスト) の機密事項を定義または更新する際に、システムは、入力された機密事項のハッシュとシステムが保管する既存の機密事項を比較し、機密事項が固有のものであるかどうかを判別します。固有のものでない場合は、システムは警告をユーザーに表示しますが、コマンドは正常に完了します。