null

Построение SAN на основе iSCSI. Конфигурация RADIUS.

14 апреля 2010 0 Alexander Zhermal

Во второй части статьи продолжаем развертывать iSCSI. На этот раз уделим внимание вопросу аутентификации. Существет несоклько способов аутентификации iSCSI-клиентов в Solaris:

CHAP (Challenge Handshake Authentication Protocol) — протокол аутентификации между инициатором и таргетом.
RADIUS (Remote Authentication in Dial-In User Service) — протокол аутентификации между центральным AAA-сервером (Authentication, Authorization и Accounting Server) и клиентами (в нашем случае это инициаторы и таргеты).

В большинстве случаев используется Unidirectional Authentication, когда таргет аутентифицирует инициатор. Но для каждого из вышеперечисленных способов существует возможность Bidirectional Authentication, когда инициатор в свою очередь также аутентифицирует таргет. Далее пойдет речь о Unidirectional Authentication через сервер RADIUS.

В качестве примера приведена конфигурация FreeRADIUS:

Редактируем файл /usr/local/etc/raddb/users:

st7410  Cleartext-Password := "tigerofsun111" 
sf210   Cleartext-Password := "tigerofsun111" 
sfx4150 Cleartext-Password := "tigerofsun111"

 

Добавляем информацию об узлах в /usr/local/etc/raddb/clients.conf:

client 192.168.50.13 { 
       secret          = tigerofsun111 
       shortname       = sf210 
} 

client 192.168.50.93 { 
{ 
       secret          = tigerofsun111 
       shortname       = st7410.tdc 
} 

client 192.168.50.144 { 
{ 
        secret          = tigerofsun111 
        shortname       = sfx4150 
}

 

Включаем RADIUS в debug-режиме:

# /usr/local/sbin/radiusd -f -X

 

Конфигурация таргета.

Создаем localinitiator:

# iscsitadm create initiator -n iqn.1986-03.com.sun:01:0003ba603b71.4b727a7d sf210

 Добавляем CHAP-name:

# iscsitadm modify initiator -H sf210 sf210

 Задаем CHAP-secret:

# iscsitadm modify initiator -C sf210

 Задаем CHAP-name таргету:

# iscsitadm modify admin -H sfx4150

 Указываем адрес RADIUS-сервера:

# iscsitadm modify admin -r 192.168.50.13

 Задаем пароль:

# iscsitadm modify admin -P

 Включаем аутентификацию через RADIUS:

# iscsitadm modify admin -R enable

 

Настройка инициатора.

Включаем CHAP:

# iscsiadm modify initiator-node -a CHAP

 Добавляем CHAP-name:

# iscsiadm modify initiator-node -H

 Задаем CHAP-secret:

# iscsiadm modify initiator-node -P

 Указываем адрес RADIUS-сервера:

# iscsiadm modify initiator-node -r 192.168.50.13

 Включаем аутентификацию через RADIUS:

# iscsiadm modify initiator-node -R enable

 

Смотрим на консоль отдадки RADIUS-сервера и отслеживаем процесс аутентификации.
Возможно, необходимо будет перезапустить iSCSI-сервисы на инициаторе и таргете:

# svcadm restart iscsi/initiator 
# svcadm restart iscsi/target