Во второй части статьи продолжаем развертывать iSCSI. На этот раз уделим внимание вопросу аутентификации. Существет несоклько способов аутентификации iSCSI-клиентов в Solaris:
В большинстве случаев используется Unidirectional Authentication, когда таргет аутентифицирует инициатор. Но для каждого из вышеперечисленных способов существует возможность Bidirectional Authentication, когда инициатор в свою очередь также аутентифицирует таргет. Далее пойдет речь о Unidirectional Authentication через сервер RADIUS.
В качестве примера приведена конфигурация FreeRADIUS:
Редактируем файл /usr/local/etc/raddb/users:
st7410 Cleartext-Password := "tigerofsun111"
sf210 Cleartext-Password := "tigerofsun111"
sfx4150 Cleartext-Password := "tigerofsun111"
Добавляем информацию об узлах в /usr/local/etc/raddb/clients.conf:
client 192.168.50.13 {
secret = tigerofsun111
shortname = sf210
}
client 192.168.50.93 {
{
secret = tigerofsun111
shortname = st7410.tdc
}
client 192.168.50.144 {
{
secret = tigerofsun111
shortname = sfx4150
}
Включаем RADIUS в debug-режиме:
# /usr/local/sbin/radiusd -f -X
Конфигурация таргета.
Создаем localinitiator:
# iscsitadm create initiator -n iqn.1986-03.com.sun:01:0003ba603b71.4b727a7d sf210
Добавляем CHAP-name:
# iscsitadm modify initiator -H sf210 sf210
Задаем CHAP-secret:
# iscsitadm modify initiator -C sf210
Задаем CHAP-name таргету:
# iscsitadm modify admin -H sfx4150
Указываем адрес RADIUS-сервера:
# iscsitadm modify admin -r 192.168.50.13
Задаем пароль:
# iscsitadm modify admin -P
Включаем аутентификацию через RADIUS:
# iscsitadm modify admin -R enable
Настройка инициатора.
Включаем CHAP:
# iscsiadm modify initiator-node -a CHAP
Добавляем CHAP-name:
# iscsiadm modify initiator-node -H
Задаем CHAP-secret:
# iscsiadm modify initiator-node -P
Указываем адрес RADIUS-сервера:
# iscsiadm modify initiator-node -r 192.168.50.13
Включаем аутентификацию через RADIUS:
# iscsiadm modify initiator-node -R enable
Смотрим на консоль отдадки RADIUS-сервера и отслеживаем процесс аутентификации.
Возможно, необходимо будет перезапустить iSCSI-сервисы на инициаторе и таргете:
# svcadm restart iscsi/initiator
# svcadm restart iscsi/target