翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# iSCSI ターゲットの CHAP 認証の設定
<a name="ConfiguringiSCSIClientInitiatorCHAP"></a>

Storage Gateway は、Challenge-Handshake Authentication Protocol (CHAP) を使用して、ゲートウェイと iSCSI イニシエータの間の認証を行うことができます。CHAP は、ボリュームと VTL デバイスターゲットへのアクセスの認証時に、iSCSI イニシエータのアイデンティティを定期的に確認することにより、プレイバック攻撃から保護します。

**注記**  
CHAP 設定はオプションですが、強くお勧めします。

CHAP を設定するには、Storage Gateway コンソールと、ターゲットへの接続に使用される iSCSI イニシエータソフトウェアの両方で、設定を行う必要があります。Storage Gateway では相互 CHAP が使用され、イニシエータがターゲットを認証するときに、ターゲットもイニシエータを認証します。

**ターゲットの相互 CHAP をセットアップするには**

1. 「[Storage Gateway コンソールでボリュームターゲットに CHAP を設定するには](#ConfiguringiSCSIClientInitiatorCHAPConsole)」の説明に従って、Storage Gateway コンソールで CHAP を設定します。

1. クライアントイニシエータソフトウェアで、CHAP の設定を完了します。
   + Windows クライアントで相互 CHAP を設定するには、「[Windows クライアントで相互 CHAP を設定するには](#ConfiguringiSCSIClientInitiatorCHAPWindows)」を参照してください。
   + Red Hat Linux クライアントで相互 CHAP を設定するには、「[Red Hat Linux クライアントで相互 CHAP を設定するには](#ConfiguringiSCSIClientInitiatorCHAPLinux)」を参照してください。<a name="ConfiguringiSCSIClientInitiatorCHAPConsole"></a>

**Storage Gateway コンソールでボリュームターゲットに CHAP を設定するには**

この手順では、ボリュームの読み書きに使用される 2 つのシークレットキーを指定します。同じキーを、クライアントのイニシエータを設定する手順でも使用します。

1. Storage Gateway コンソールのナビゲーションペインで、**[Volumes]** (ボリューム) を選択します。

1. [**Actions (アクション)**] メニューで、[**Configure CHAP Authentication (CHAP 認証の設定)**] を選択します。

1. **[Configure CHAP Authentication]** (CHAP 認証の設定) ダイアログボックスで要求された情報を入力します。

   1. **[Initiator Name]** (イニシエータ名) に iSCSI イニシエータの名前を入力します。この名前は Amazon iSCSI 修飾名 (IQN) で、`iqn.1997-05.com.amazon:` が先頭に付加され、ターゲット名が続きます。以下に例を示します。

      `iqn.1997-05.com.amazon:your-volume-name`

      イニシエータの名前は、iSCSI イニシエータソフトウェアを使用して確認できます。たとえば、Windows クライアントの場合、名前は iSCSI イニシエータの [**Configuration**] タブの値です。詳細については、「[Windows クライアントで相互 CHAP を設定するには](#ConfiguringiSCSIClientInitiatorCHAPWindows)」を参照してください。
**注記**  
イニシエータの名前を変更するには、最初に CHAP を無効にし、iSCSI イニシエータソフトウェアでイニシエータの名前を変更した後、新しい名前で CHAP を有効にします。

   1. **[Secret used to Authenticate Initiator]** (イニシエータ認証に使用するシークレットキー) に、要求されるシークレットキーを入力します。

      このシークレットキーは、12 文字以上、16 文字以下である必要があります。この値は、ターゲットとの CHAP に参加するためにイニシエータ (つまり、Windows クライアント) が知っている必要があるシークレットキーです。

   1. **[Secret used to Authenticate Target (Mutual CHAP)]** (ターゲット認証に使用するシークレットキー (相互 CHAP)) に、要求されるシークレットキーを入力します。

      このシークレットキーは、12 文字以上、16 文字以下である必要があります。この値は、イニシエータとの CHAP に参加するためにターゲットが認識している必要のあるシークレットキーです。
**注記**  
ターゲットを認証するために使用されるシークレットキーは、イニシエータを認証するためのシークレットキーとは異なるものである必要があります。

   1. **[保存]** を選択します。

1. [**Details**] タブを選択し、[**iSCSI CHAP Authentication**] が [**true**] に設定されていることを確認します。<a name="ConfiguringiSCSIClientInitiatorCHAPWindows"></a>

**Windows クライアントで相互 CHAP を設定するには**

この手順では、コンソールでボリュームの CHAP を設定するために使用したキーを使用して、Microsoft iSCSI イニシエータで CHAP を設定します。

1. iSCSI イニシエータがまだ起動されていない場合は、Windows クライアントコンピュータの **[Start]** (スタート) メニューで **[Run]** (実行) に「**iscsicpl.exe**」と入力し、**[OK]** をクリックして、プログラムを実行します。

1. イニシエータ (つまり、Windows クライアント) の相互 CHAP を設定します。

   1. **[設定]** タブを選択します。

       
**注記**  
[**Initiator Name**] の値は、イニシエータおよび会社に固有の値です。前に示した名前は、Storage Gateway コンソールの **[Configure CHAP Authentication]** (CHAP 認証の設定) ダイアログボックスで使用した値です。  
例の画像で表示されている名前は、デモンストレーション用です。

   1. [**CHAP**] を選択します。

   1. **[iSCSI Initiator Mutual Chap Secret]** (iSCSI イニシエータ相互 CHAP シークレットキー) ダイアログボックスで、相互 CHAP のシークレットキー値を入力します。

      このダイアログボックスには、イニシエータ (Windows クライアント) がターゲット (ストレージボリューム) を認証するために使用するシークレットキーを入力します。このシークレットキーを使用すると、ターゲットはイニシエータに対する読み書きを実行できます。このシークレットキーは、**[Configure CHAP Authentication]** (CHAP 認証の設定) ダイアログボックス内の **[Secret used to Authenticate Target (Mutual CHAP)]** (ターゲット認証に使用するシークレットキー (相互 CHAP)) に入力したシークレットキーと同じです。詳細については、「[iSCSI ターゲットの CHAP 認証の設定](#ConfiguringiSCSIClientInitiatorCHAP)」を参照してください。

   1. 入力したキーが 12 文字に達していない場合、または 16 文字を超えている場合、**[Initiator CHAP secret]** (イニシエータ CHAP シークレットキー) エラーダイアログボックスが表示されます。

      **[OK]** をクリックし、もう一度キーを入力します。

1. イニシエータのシークレットでターゲットを設定して、相互 CHAP の構成を完了します。

   1. [**Targets**] タブを選択します。

   1. CHAP の対象として設定するターゲットが現在接続されている場合は、ターゲットを選択してから [**Disconnect**] をクリックして、ターゲットを切断します。

   1. CHAP の対象として設定するターゲットを選択し、[**Connect**] を選択します。

   1. [**Connect to Target**] ダイアログボックスで [**Advanced**] を選択します。

   1. [**Advanced Settings**] ダイアログボックスで CHAP を設定します。

       

      1. **[CHAP ログオンを有効にする]** を選択します。

      1. イニシエータを認証するために必要なシークレットキーを入力します。このシークレットキーは、**[Configure CHAP Authentication]** (CHAP 認証の設定) ダイアログボックス内の **[Secret used to Authenticate Initiator]** (イニシエータ認証に使用するシークレットキー) に入力したシークレットキーと同じです。詳細については、「[iSCSI ターゲットの CHAP 認証の設定](#ConfiguringiSCSIClientInitiatorCHAP)」を参照してください。

      1. [**Perform mutual authentication**] を選択します。

      1. [**OK**] を選択して変更を適用します。

   1. [**Connect to Target**] ダイアログボックスで [**OK**] を選択します。

1. 正しいシークレットキーを指定した場合、ターゲットのステータスが [**Connected**] と表示されます。<a name="ConfiguringiSCSIClientInitiatorCHAPLinux"></a>

**Red Hat Linux クライアントで相互 CHAP を設定するには**

この手順では、Storage Gateway コンソールでボリュームの CHAP を設定するために使用したものと同じキーを使用して、Linux iSCSI イニシエータで CHAP を設定します。

1. iSCSI デーモンが実行されていて、ターゲットに既に接続されていることを確認してください。これら 2 つのタスクを完了していない場合は、「[Red Hat Enterprise Linux クライアントへの接続](https://docs.aws.amazon.com/storagegateway/latest/vgw/GettingStarted-use-volumes.html#issci-rhel)」を参照してください。

1. CHAP を設定するターゲットを切断し、既存の設定を削除します。

   1. ターゲット名を検索し、定義済みの設定であることを確認するには、次のコマンドを使用して、保存されている設定の一覧を表示します。

      ```
      sudo /sbin/iscsiadm --mode node
      ```

   1. ターゲットから切断します。

      次のコマンドは、Amazon iSCSI 修飾名 (IQN) で定義されている **myvolume** という名前のターゲットから切断します。必要に応じて、ターゲットの名前と IQN を変更します。

      ```
      sudo /sbin/iscsiadm --mode node --logout GATEWAY_IP:3260,1 iqn.1997-05.com.amazon:myvolume
      ```

   1. ターゲットの設定を削除します。

      次のコマンドは、**myvolume** ターゲットに対する設定を削除します。

      ```
      sudo /sbin/iscsiadm --mode node --op delete --targetname iqn.1997-05.com.amazon:myvolume
      ```

1. iSCSI 設定ファイルを編集して、CHAP を有効にします。

   1. イニシエータ (つまり、使用しているクライアント) の名前を取得します。

      次のコマンドは、`/etc/iscsi/initiatorname.iscsi` ファイルからイニシエータの名前を取得します。

      ```
      sudo cat /etc/iscsi/initiatorname.iscsi
      ```

      このコマンドの出力は次のようになります。

      `InitiatorName=iqn.1994-05.com.redhat:8e89b27b5b8`

   1. `/etc/iscsi/iscsid.conf` ファイルを開きます。

   1. ファイルで以下の行のコメントを解除し、*username*、*password*、*username\$1in*、および *password\$1in* の正しい値を指定します。

      ```
      node.session.auth.authmethod = CHAP
      node.session.auth.username = username
      node.session.auth.password = password
      node.session.auth.username_in = username_in
      node.session.auth.password_in = password_in
      ```

      指定する値の説明については、次の表を参照してください。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/storagegateway/latest/vgw/ConfiguringiSCSIClientInitiatorCHAP.html)

   1. 設定ファイルの変更を保存して、ファイルを閉じます。

1. ターゲットを検出して、ログインします。そのためには、「[Red Hat Enterprise Linux クライアントへの接続](https://docs.aws.amazon.com/storagegateway/latest/vgw/GettingStarted-use-volumes.html#issci-rhel)」の手順に従ってください。