Mengkonfigurasi Otentikasi CHAP untuk Target iSCSI Anda - AWS Storage Gateway

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi Otentikasi CHAP untuk Target iSCSI Anda

Storage Gateway mendukung otentikasi antara gateway Anda dan inisiator iSCSI dengan menggunakan Challenge-Handshake Authentication Protocol (CHAP). CHAP memberikan perlindungan terhadap serangan pemutaran dengan memverifikasi identitas inisiator iSCSI secara berkala sebagai otentikasi untuk mengakses volume dan target perangkat VTL.

catatan

Konfigurasi CHAP bersifat opsional tetapi sangat disarankan.

Untuk mengatur CHAP, Anda harus mengonfigurasinya di konsol Storage Gateway dan di perangkat lunak inisiator iSCSI yang Anda gunakan untuk terhubung ke target. Storage Gateway menggunakan CHAP bersama, yaitu ketika inisiator mengotentikasi target dan target mengotentikasi inisiator.

Untuk mengatur CHAP bersama untuk target Anda

  1. Konfigurasikan CHAP di konsol Storage Gateway, seperti yang dibahas di Untuk mengkonfigurasi CHAP untuk target volume pada konsol Storage Gateway.

  2. Dalam perangkat lunak inisiator klien Anda, selesaikan konfigurasi CHAP:

Untuk mengkonfigurasi CHAP untuk target volume pada konsol Storage Gateway

Dalam prosedur ini, Anda menentukan dua kunci rahasia yang digunakan untuk membaca dan menulis ke volume. Kunci yang sama ini digunakan dalam prosedur untuk mengkonfigurasi inisiator klien.

  1. Pada konsol Storage Gateway, pilih Volume di panel navigasi.

  2. Untuk Tindakan, pilih Konfigurasi Otentikasi CHAP.

  3. Berikan informasi yang diminta di kotak dialog Configure CHAP Authentication.

    1. Untuk Nama Inisiator, masukkan nama inisiator iSCSI Anda. Nama ini adalah nama yang memenuhi syarat Amazon iSCSI (IQN) yang dilanjutkan dengan diikuti oleh nama targetiqn.1997-05.com.amazon:. Berikut adalah contohnya.

      iqn.1997-05.com.amazon:your-volume-name

      Anda dapat menemukan nama inisiator dengan menggunakan perangkat lunak inisiator iSCSI Anda. Misalnya, untuk klien Windows, namanya adalah nilai pada tab Konfigurasi inisiator iSCSI. Untuk informasi selengkapnya, lihat Untuk mengkonfigurasi CHAP bersama pada klien Windows.

      catatan

      Untuk mengubah nama inisiator, Anda harus terlebih dahulu menonaktifkan CHAP, mengubah nama inisiator di perangkat lunak inisiator iSCSI Anda, dan kemudian mengaktifkan CHAP dengan nama baru.

    2. Untuk Rahasia yang digunakan untuk Mengautentikasi Inisiator, masukkan rahasia yang diminta.

      Rahasia ini harus minimal 12 karakter dan panjang maksimal 16 karakter. Nilai ini adalah kunci rahasia yang harus diketahui oleh inisiator (yaitu, klien Windows) untuk berpartisipasi dalam CHAP dengan target.

    3. Untuk Rahasia yang digunakan untuk Mengautentikasi Target (Mutual CHAP), masukkan rahasia yang diminta.

      Rahasia ini harus minimal 12 karakter dan panjang maksimal 16 karakter. Nilai ini adalah kunci rahasia yang harus diketahui target untuk berpartisipasi dalam CHAP dengan inisiator.

      catatan

      Rahasia yang digunakan untuk mengotentikasi target harus berbeda dari rahasia untuk mengotentikasi inisiator.

    4. Pilih Simpan.

  4. Pilih tab Detail dan konfirmasikan bahwa otentikasi iSCSI CHAP disetel ke true.

Untuk mengkonfigurasi CHAP bersama pada klien Windows

Dalam prosedur ini, Anda mengonfigurasi CHAP di inisiator Microsoft iSCSI menggunakan tombol yang sama yang Anda gunakan untuk mengonfigurasi CHAP untuk volume di konsol.

  1. Jika inisiator iSCSI belum dimulai, pada menu Start komputer klien Windows Anda, pilih Run, iscsicpl.exe enter, lalu pilih OK untuk menjalankan program.

  2. Konfigurasikan konfigurasi CHAP timbal balik untuk inisiator (yaitu, klien Windows):

    1. Pilih tab Konfigurasi.

      catatan

      Nilai Nama Inisiator unik untuk inisiator dan perusahaan Anda. Nama yang ditampilkan sebelumnya adalah nilai yang Anda gunakan di kotak dialog Configure CHAP Authentication dari konsol Storage Gateway.

      Nama yang ditunjukkan pada gambar contoh adalah untuk tujuan demonstrasi saja.

    2. Pilih CHAP.

    3. Dalam kotak dialog iSCSI Initiator Mutual Chap Secret, masukkan nilai rahasia CHAP bersama.

      Di kotak dialog ini, Anda memasukkan rahasia yang digunakan inisiator (klien Windows) untuk mengotentikasi target (volume penyimpanan). Rahasia ini memungkinkan target untuk membaca dan menulis ke inisiator. Rahasia ini sama dengan rahasia yang dimasukkan ke dalam kotak Secret used to Authenticate Target (Mutual CHAP) di kotak dialog Configure CHAP Authentication. Untuk informasi selengkapnya, lihat Mengkonfigurasi Otentikasi CHAP untuk Target iSCSI Anda.

    4. Jika kunci yang Anda masukkan kurang dari 12 karakter atau lebih dari 16 karakter, kotak dialog kesalahan rahasia Initiator CHAP akan muncul.

      Pilih OK, lalu masukkan kunci lagi.

  3. Konfigurasikan target dengan rahasia inisiator untuk menyelesaikan konfigurasi CHAP bersama.

    1. Pilih tabTarget.

    2. Jika target yang ingin Anda konfigurasikan untuk CHAP saat ini terhubung, putuskan sambungan target dengan memilihnya dan memilih Putuskan sambungan.

    3. Pilih target yang ingin Anda konfigurasikan untuk CHAP, lalu pilih Connect.

    4. Di kotak dialog Connect to Target, pilih Advanced.

    5. Di kotak dialog Pengaturan Lanjut, konfigurasikan CHAP.

      1. Pilih Aktifkan CHAP log on.

      2. Masukkan rahasia yang diperlukan untuk mengotentikasi inisiator. Rahasia ini sama dengan rahasia yang dimasukkan ke dalam kotak Secret used to Authenticate Initiator di kotak dialog Configure CHAP Authentication. Untuk informasi selengkapnya, lihat Mengkonfigurasi Otentikasi CHAP untuk Target iSCSI Anda.

      3. Pilih Lakukan otentikasi timbal balik.

      4. Untuk menerapkan perubahan, pilih OK.

    6. Dalam Connect to Target kotak dialog, pilih OK.

  4. Jika Anda memberikan kunci rahasia yang benar, target menunjukkan status Terhubung.

Untuk mengkonfigurasi CHAP bersama pada klien Red Hat Linux

Dalam prosedur ini, Anda mengkonfigurasi CHAP di inisiator iSCSI Linux menggunakan tombol yang sama yang Anda gunakan untuk mengkonfigurasi CHAP untuk volume pada konsol Storage Gateway.

  1. Pastikan daemon iSCSI sedang berjalan dan Anda telah terhubung ke target. Jika Anda belum menyelesaikan dua tugas ini, lihat Menghubungkan ke Klien Linux Red Hat Enterprise .

  2. Putuskan sambungan dan hapus konfigurasi yang ada untuk target yang akan Anda konfigurasikan CHAP.

    1. Untuk menemukan nama target dan memastikannya adalah konfigurasi yang ditentukan, daftarkan konfigurasi yang disimpan menggunakan perintah berikut.

      sudo /sbin/iscsiadm --mode node

    2. Putuskan sambungan dari target.

      Perintah berikut terputus dari target bernama myvolume yang didefinisikan dalam nama yang memenuhi syarat Amazon iSCSI (IQN). Ubah nama target dan IQN sesuai kebutuhan untuk situasi Anda.

      sudo /sbin/iscsiadm --mode node --logout GATEWAY_IP:3260,1 iqn.1997-05.com.amazon:myvolume

    3. Hapus konfigurasi untuk target.

      Perintah berikut menghapus konfigurasi untuk myvolume target.

      sudo /sbin/iscsiadm --mode node --op delete --targetname iqn.1997-05.com.amazon:myvolume

  3. Edit file konfigurasi iSCSI untuk mengaktifkan CHAP.

    1. Dapatkan nama inisiator (yaitu, klien yang Anda gunakan).

      Perintah berikut mendapatkan nama inisiator dari /etc/iscsi/initiatorname.iscsi file.

      sudo cat /etc/iscsi/initiatorname.iscsi

      Output dari perintah ini terlihat seperti ini:

      InitiatorName=iqn.1994-05.com.redhat:8e89b27b5b8

    2. Buka file /etc/iscsi/iscsid.conf.

    3. Hapus komentar baris berikut dalam file dan tentukan nilai yang benar untukusername,, passwordusername_in, danpassword_in.

      node.session.auth.authmethod = CHAP
node.session.auth.username = username
node.session.auth.password = password
node.session.auth.username_in = username_in
node.session.auth.password_in = password_in

      Untuk panduan tentang nilai apa yang akan ditentukan, lihat tabel berikut.

      Pengaturan Konfigurasi Nilai
      username

      Nama inisiator yang Anda temukan di langkah sebelumnya dalam prosedur ini. Nilai dimulai dengan iqn. Misalnya, iqn.1994-05.com.redhat:8e89b27b5b8 adalah username nilai yang valid.
      password Kunci rahasia yang digunakan untuk mengotentikasi inisiator (klien yang Anda gunakan) ketika berkomunikasi dengan volume.
      username_in

      IQN dari volume target. Nilai dimulai dengan iqn dan diakhiri dengan nama target. Misalnya, iqn.1997-05.com.amazon:myvolume adalah username_in nilai yang valid.
      password_in

      Kunci rahasia yang digunakan untuk mengotentikasi target (volume) ketika berkomunikasi dengan inisiator.

    4. Simpan perubahan dalam file konfigurasi, lalu tutup file.

  4. Temukan dan masuk ke target. Untuk melakukannya, ikuti langkah-langkah dalam Menghubungkan ke Klien Linux Red Hat Enterprise yang .