設定 iSCSI 目標的CHAP身分驗證

CHAP 為您的目標設定相互

1. 在 Storage Gateway 主控台CHAP上設定 ，如 中所述在 Storage Gateway 主控台上CHAP設定磁碟區目標。

2. 在用戶端啟動器軟體中，完成CHAP組態：

   • 若要在 Windows 用戶端CHAP上設定相互，請參閱 在 Windows 用戶端CHAP上設定相互。

   • 若要在 Red Hat Linux 用戶端CHAP上設定相互，請參閱 在 Red Hat Linux 用戶端CHAP上設定相互。

在 Storage Gateway 主控台上CHAP設定磁碟區目標

在此程序中，您指定兩個用於讀取和寫入磁碟區的秘密金鑰。在此程序中，會使用這些相同的金鑰來設定用戶端啟動器。

1. 在 Storage Gateway 主控台的導覽窗格上，選擇磁碟區。

2. 針對動作 ，選擇設定CHAP身分驗證 。

3. 在設定CHAP身分驗證對話方塊中提供請求的資訊。

   1. 針對啟動者名稱 ，輸入 iSCSI 啟動者的名稱。此名稱是 Amazon iSCSI 合格名稱 （IQN），前面加上iqn.1997-05.com.amazon:目標名稱。以下是範例。

      iqn.1997-05.com.amazon:your-volume-name

      您可以使用您的 iSCSI 啟動器軟體來尋找啟動器名稱。例如，對於 Windows 用戶端，名稱是 iSCSI 啟動器的組態索引標籤上的值。如需詳細資訊，請參閱在 Windows 用戶端CHAP上設定相互。

      注意

      若要變更啟動器名稱，您必須先停用 CHAP，變更 iSCSI 啟動器軟體中的啟動器名稱，然後使用CHAP新名稱啟用。

   2. 針對啟動器驗證所用的秘密，輸入所請求的秘密。

      此秘密的長度必須最少為 12 個字元，最多為 16 個字元。此值是啟動者 （即 Windows 用戶端） 必須知道才能CHAP與目標一起參與的秘密金鑰。

   3. 對於用於驗證目標的秘密 （相互 CHAP），輸入請求的秘密。

      此秘密的長度必須最少為 12 個字元，最多為 16 個字元。此值是目標必須知道的秘密金鑰，才能CHAP與發起者一起參與。

      注意

      用來驗證目標的秘密必須與驗證啟動器的秘密不同。

   4. 選擇 Save (儲存)。

4. 選擇詳細資訊索引標籤，並確認 iSCSI CHAP身分驗證設定為 true 。

在 Windows 用戶端CHAP上設定相互

在此程序中，您可以使用您在主控台CHAP上為磁碟區設定的相同金鑰，CHAP在 Microsoft iSCSI 啟動器中設定 。

1. 如果尚未啟動 iSCSI 啟動器，請在 Windows 用戶端電腦的開始功能表上，選擇執行 ，輸入 iscsicpl.exe，然後選擇確定執行程式。

2. 為啟動器 （即 Windows 用戶端） 設定相互CHAP組態：

   1. 選擇 Configuration (組態) 索引標籤。

      注意

      Initiator Name (啟動器名稱) 值對於啟動器和公司必須是唯一的。前面顯示的名稱是您在 Storage Gateway 主控台的設定CHAP身分驗證對話方塊中使用的值。

      範例影像中所顯示的名稱僅供示範之用。

   2. 選擇 CHAP。

   3. 在 iSCSI Initiator Mutual Chap Secret 對話方塊中，輸入相互CHAP秘密值。

      在此對話方塊中，您輸入啟動器 (Windows 用戶端) 用來驗證目標 (儲存磁碟區) 的秘密。此秘密可讓目標讀取和寫入啟動器。此秘密與在設定CHAP驗證對話方塊中用於驗證目標 （相互 CHAP） 的秘密中輸入的秘密相同。如需詳細資訊，請參閱設定 iSCSI 目標的CHAP身分驗證。

   4. 如果您輸入的金鑰少於 12 個字元或超過 16 個字元，則會出現啟動者CHAP秘密錯誤對話方塊。

      選擇確定，然後重新輸入金鑰。

3. 使用啟動者的秘密來設定目標，以完成相互CHAP組態。

   1. 選擇 Targets (目標) 標籤。

   2. 如果您要為 設定的目標CHAP目前已連線，請選擇目標，然後選擇中斷連線 以中斷連線。

   3. 選取您要為 設定的目標CHAP，然後選擇連線 。

   4. 在 Connect to Target (連線至目標) 對話方塊中，選擇 Advanced (進階)。

   5. 在進階設定對話方塊中，設定 CHAP。

      1. 選取在 上啟用CHAP登入。

      2. 輸入驗證啟動器所需的秘密。此秘密與在設定CHAP身分驗證對話方塊中用於驗證啟動器的秘密中輸入的秘密相同。如需詳細資訊，請參閱設定 iSCSI 目標的CHAP身分驗證。

      3. 選取 Perform mutual authentication (執行交互身分驗證)。

      4. 若要套用變更，請選擇 OK (確定)。

   6. 在 Connect to Target (連線至目標) 對話方塊中，選擇 OK (確定)。

4. 如果您已提供正確的秘密金鑰，則目標會顯示 Connected (已連線) 狀態。

在 Red Hat Linux 用戶端CHAP上設定相互

在此程序中，您可以使用您在 Storage Gateway 主控台CHAP上為磁碟區設定的相同金鑰CHAP，在 Linux iSCSI 啟動器中設定 。

1. 確保 iSCSI 常駐程式正在執行，且您已連線到目標。如果您尚未完成這兩項工作，請參閱連線至 Red Hat Enterprise Linux 用戶端。

2. 中斷連線並移除您即將設定 之目標的任何現有組態CHAP。

   1. 若要尋找目標名稱，並確保它是已定義的組態，請使用下列命令列出儲存的組態。

      sudo /sbin/iscsiadm --mode node

   2. 與目標中斷連線。

      下列命令會與 myvolume Amazon iSCSI 合格名稱 （） 中定義的名為 的目標中斷連線IQN。變更目標名稱，並IQN依您的情況所需變更目標名稱和 。

      sudo /sbin/iscsiadm --mode node --logout GATEWAY_IP:3260,1 iqn.1997-05.com.amazon:myvolume

   3. 移除目標的組態。

      下列命令會移除 myvolume 目標的組態。

      sudo /sbin/iscsiadm --mode node --op delete --targetname iqn.1997-05.com.amazon:myvolume

3. 編輯 iSCSI 組態檔案以啟用 CHAP。

   1. 取得啟動器的名稱 (即您正在使用的用戶端)。

      下列命令會從 /etc/iscsi/initiatorname.iscsi 檔案取得啟動器名稱。

      sudo cat /etc/iscsi/initiatorname.iscsi

      此命令的輸出如下所示：

      InitiatorName=iqn.1994-05.com.redhat:8e89b27b5b8

   2. 開啟 /etc/iscsi/iscsid.conf 檔案。

   3. 取消註解檔案中的下列資料行，並指定正確的值 username, password, username_in 和 password_in.

      node.session.auth.authmethod = CHAP
      node.session.auth.username = username
      node.session.auth.password = password
      node.session.auth.username_in = username_in
      node.session.auth.password_in = password_in

      如需所要指定值的指導，請參閱下表。

      組態設定	Value
      username	您在此程序的前一個步驟中找到的啟動器名稱。此值的開頭為 iqn。例如， iqn.1994-05.com.redhat:8e89b27b5b8 是有效的 username 值。
      password	啟動器 (您正在使用的用戶端) 與磁碟區通訊時，用來驗證啟動器的秘密金鑰。
      username_in	IQN 目標磁碟區的 。此值的開頭為 iqn，且結尾為目標名稱。例如， iqn.1997-05.com.amazon:myvolume 是有效的 username_in 值。
      password_in	目標 (磁碟區) 與啟動器通訊時，用來驗證目標的秘密金鑰。

   4. 儲存組態檔案中的變更，然後關閉檔案。

4. 搜索和登入目標。若要這麼做，請依照連線至 Red Hat Enterprise Linux 用戶端中的步驟進行。