Linux服务管理-基于CHAP认证的ISCSI

已于 2024-11-13 16:34:29 修改
阅读量824 收藏 9
点赞数 12
分类专栏: Linux服务管理 文章标签: linux 服务器 运维
于 2024-11-11 09:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52377412/article/details/143595647
版权

基于CHAP认证的ISCSI

参考文档:https://blog.51cto.com/zhuxu91313/2154819

9.12. 为目标设置 Challenge-Handshake 验证协议 Red Hat Enterprise Linux 8 | Red Hat Customer Portal

一、单向认证

认证分为发现端(discovery)和session(session又分为acl级别和tpg级别)

# tpd级别
/> iscsi/iqn.2024-04.com.a:server1/tpg1/ set attribute generate_node_acls=1 authentication=1
# 之后添加用户的命令都是一样的

下面为ACL级别

target服务器

# 配置discover单向chap认证
/> iscsi/ set discovery_auth enable=1 userid=target password=redhat
Parameter enable is now 'True'.
Parameter userid is now 'target'.
Parameter password is now 'redhat'.
/> iscsi/ get discovery_auth 
DISCOVERY_AUTH CONFIG GROUP
===========================
enable=True
-----------
The enable discovery_auth parameter.
mutual_password=
----------------
The mutual_password discovery_auth parameter.
mutual_userid=
--------------
The mutual_userid discovery_auth parameter.
password=redhat_passwd
----------------------
The password discovery_auth parameter.
userid=redhat
-------------
The userid discovery_auth parameter.
/> 
# 配置session chap单向认证
/> iscsi/iqn.2024-04.com.a:server1/tpg1/acls/iqn.2024-04.com.a:client/ set auth userid=redhat password=redhat_passwd
Parameter userid is now 'redhat'.
Parameter password is now 'redhat_passwd'.
/> iscsi/iqn.2024-04.com.a:server1/tpg1/acls/iqn.2024-04.com.a:client/ get auth 
AUTH CONFIG GROUP
=================
mutual_password=
----------------
The mutual_password auth parameter.
mutual_userid=
--------------
The mutual_userid auth parameter.
password=redhat_passwd
----------------------
The password auth parameter.
userid=redhat
-------------
The userid auth parameter.
/>

客户端

[root@vm2 ~]# cat /etc/iscsi/iscsid.conf | egrep '^discovery.sendtargets.auth.|^node.session.auth.'
node.session.auth.authmethod = CHAP
node.session.auth.username = redhat
node.session.auth.password = redhat_passwd
discovery.sendtargets.auth.authmethod = CHAP
discovery.sendtargets.auth.username = redhat
discovery.sendtargets.auth.password = redhat_passwd
[root@vm2 ~]# systemctl restart iscsi iscsid
[root@vm2 ~]# 
[root@vm2 ~]# iscsiadm -m discovery -t sendtargets -p 172.31.31.49
172.31.31.49:3260,1 iqn.2024-04.com.a:server1
[root@vm2 ~]# 
[root@vm2 ~]# iscsiadm -m node -T iqn.2024-04.com.a:server1 -p 172.31.31.49:3260 -l
Logging in to [iface: default, target: iqn.2024-04.com.a:server1, portal: 172.31.31.49,3260]
Login to [iface: default, target: iqn.2024-04.com.a:server1, portal: 172.31.31.49,3260] successful.
[root@vm2 ~]# 
[root@vm2 ~]# iscsiadm -m node -T iqn.2024-04.com.a:server1 -p 172.31.31.49:3260 -u
Logging out of session [sid: 6, target: iqn.2024-04.com.a:server1, portal: 172.31.31.49,3260]
Logout of [sid: 6, target: iqn.2024-04.com.a:server1, portal: 172.31.31.49,3260] successful.
[root@vm2 ~]#

二、双向认证

注:此处的双向认证只是配置了发现服务的认证,客户端登录认证略,可参照单向认证 ↑

target服务器

# 配置discover双向chap认证
/> iscsi/ set discovery_auth enable=1 userid=target password=redhat mutual_userid=initiator mutual_password=redhat
Parameter enable is now 'True'.
Parameter userid is now 'target'.
Parameter password is now 'redhat'.
Parameter mutual_userid is now 'initiator'.
Parameter mutual_password is now 'redhat'.
/> exit

客户端

[root@vm2 ~]# cat /etc/iscsi/iscsid.conf | egrep '^discovery.sendtargets.auth.' 
discovery.sendtargets.auth.authmethod = CHAP
discovery.sendtargets.auth.username = target
discovery.sendtargets.auth.password = redhat
discovery.sendtargets.auth.username_in = initiator
discovery.sendtargets.auth.password_in = redhat
[root@vm2 ~]# 
[root@vm2 ~]# systemctl restart iscsi iscsid

注:在服务端自动生成acl时,如果没有chap认证,则几乎所有不被防火墙拦截的客户端都可以注册连接,但是如果启用chap认证,则无法直接连接,客户端需配置对应的用户名和密码。

Linux查看iscsi连接状态,linux iscsi chap认证配置
weixin_35094917的博客
05-13 5272
早在《RH254小结(八)iscsi服务应用搭建》中有提到iscsi的搭建和使用,不过真正在现网使用iscsi协议的存储时,一般会配置chap认证以增加安全。chap是Challenge-Handshake Authentication Protocol的简写。chap认证又分为单向认证和双向认证。一、单向认证单向认证是仅initiator连接target时进行认证。这个配置比较简单,打开/etc...
iSCSI CHAP认证不完全攻略
热门推荐
FreeCoder的专栏
12-25 2万+
原创文章,欢迎转载,转载时请务必给出原文链接,谢谢!http://blog.youkuaiyun.com/sinchb/article/details/8433994#t10 一、 什么是CHAP? Challenge-Handshake Authentication Protocol iSCSI initiators and targets prove their identity to each o
iscsichap认证
01-08
iscsi支持chap认证chap认证分为incoming和outgoing,本文介绍了linux客户端和windows客户端的iscsi chap认证配置方法
WindowServer2022配置iSCSI磁盘CHAP认证
最新发布
weixin_45564816的博客
06-04 1954
实验环境: WindowsServer2022。
redhat 7实现基于chap认证iscsi,包括发现认证,和正常认证
weixin_33804990的博客
08-05 669
实验环境:两台虚拟机,系统为redhat7.0以上(本文使用redhat 7.5)第一台虚拟ip地址为ip:192.168.0.118/24 gw:192.168.0.1 hostname:target.zhuxu.co ---主机名很关键。第二台虚拟机ip地址为192.168.0.119/24 gw:192.168.0.1 hostname:initiator.zhuxu.co两台虚拟机配置好y...
LinuxISCSI服务器搭建与客户端使用
Ber1in5的博客
09-19 5458
本文主要介绍linuxiSCSI服务端和客户端的搭建及使用。iSCSI技术在工作形式上分为服务端(target)与客户端(initiator)。iSCSI服务端即用于存放硬盘存储资源的服务器,作为底层存储(比如ceph,本地磁盘阵列)的客户端将服务器的存储资源提供给远端的iSCSI客户端使用。iSCSI客户端则是用户使用的软件,用于访问远程服务端的存储资源。
Red Hat-Linux-v5 x-iSCSI-Configuration-v1 10
01-23
3. **使用CHAP认证**:介绍了如何设置CHAP(Challenge Handshake Authentication Protocol)认证,以增强iSCSI连接的安全性。 4. **多路径连接配置**:详细说明了如何配置多路径连接,以实现负载均衡和提高数据传输...
Linux系统下ISCSI磁盘挂载
10-10
如果使用CHAP认证,虽然增加了安全性,但会增加管理和挂载的复杂性。如果想要限制LUN只被特定服务器挂载,推荐使用主机IQN限制,而不是采用CHAP认证。 总的来说,Linux系统下的ISCSI磁盘挂载是通过`iscsiadm`工具与...
open-E搭建ISCSI服务器.doc
11-17
Open-E 提供了基于 Linux 的分布式存储平台,它支持多种硬件配置,可以充分利用硬件资源提供存储服务。 ### 2. 创建物理卷 (Physical Volumes, PV) iSCSI 服务器的基础是物理存储设备,这些设备通常是以硬盘或 SSD...
Linux iSCSI boot initialization program-开源
05-07
Linux iSCSI Boot Initialization Program,通常被称为iSCSI-init,是一种开源软件,专门设计用于Linux操作系统,以实现通过网络启动(Network Booting)系统。它允许计算机通过Internet SCSI(iSCSI)协议从远程...
linux多路径连接iScsi存储-重启自动连接.docx
06-25
### Linux多路径连接iSCSI存储—重启自动连接详解 ...通过以上步骤,可以确保Linux系统在重启之后能够自动连接到iSCSI存储,从而实现不间断的数据访问和服务。这对于数据中心环境下的高可用性和灾难恢复策略尤为重要。
linux-iscsi
seaship的博客
01-10 790
iSCSI分为服务端和客户端,服务端需要安装scsi target用来共享存储设备,客户端需要安装iscsi initiator用来连接target端,将target端共享的设备挂载到本地,可以对其进行分区,格式化等操作 二、iSCSI实现数据的访问需要的条件: 1、iSCSI客户端具有的特性: iSCSI initiator是发起I/O操作的启动者; 需要通过发现过程请求远端快设备; 可以与t...
登录CHAP认证iSCSI target
weixin_34101229的博客
08-26 1149
使用iStorage Server为linux服务器创建iSCSI target ,iStorage Server 支持CHAP在内的多种认证方法,而CHAP是目前IP SAN领域最常用的安全机制。iStorage Server是kernsafe旗下的一款优秀的IP SAN服务器软件,创建target方法,可以查看官网白皮书:www.kernsafe.cn或者联系我QQ:55...
iSCSI(一) iSCSI详解 及 iSCSI配置
2401_83627805的博客
05-15 1222
Target端安装scsi-target-util后,提供了相应的管理配置工具tgtadm,可以用target、LUN、用户都进管理,不过因为iSCSI模块工作在内核,tgtadm的配置只在内存中,下次开机重启不会生效,所以可以用过配置文件/etc/tgt/targets.conf来配置,启动时另一个工具tgt-adm会读取该文件。注意,如果登录不成功,可能是因为上面的配置用户不对,修改正确后需要重启iscsi服务,重新发现target,不然还是登录不了,过程如下,硬件TOE卡与软件结合的方式;
iSCSI认证配置
世上本没有路,走的人多了,也便成了路
09-13 3900
使用targetcli软件对iscsi服务端进行discovery和acl的chap认证配置,并配置相应客户端,实现iscsi客户端和target之间的CHAP单向、双向认证
SCSI传输的安全性CHAP协议篇
正月十六工作室
06-07 6074
CHAP(挑战握手后验证协议,Challenge Hannd Authentication Protocol),它通过三次握手机制来与远程节点建立一条可信连接。 在iSCSI客户端需要连接网络存储的iSCSI逻辑硬盘时,客户端会想服务端发起iSCSI连接请求,双方通过协商后将采用CHAP进行身份验证,验证报文将使用MD5进行加密后发送。 CHAP验证过程如图1所示。 图1CHAP 验证过程 1、服务端收到客户端的CHAP验证请
网络驱动器设备:ISCSI服务器
不知道
04-08 2784
使用ISCSI服务部署网络存储 ISCSI技术介绍 创建RAID磁盘整列 配置ISCSI服务端 配置Windows端 配置Linux客户端 iSCSI服务器CHAP单向认证配置 Linux端具体步骤 Windows端具体步骤
iscsi发起程序chap_iSCSIiSCSI发起程序,仲裁配置和SQL Server群集安装
culuo4781的博客
07-19 1438
iscsi发起程序chap In this article, we will continue our journey to configuring a SQL Server AlwaysOn High availability configuration and failover nodes, by setting up iSCSI including an iSCSI initiator...
linux配置iscsi无账号密码,linux iscsi Initiator配置CHAP认证
weixin_35626107的博客
04-30 631
前面关于配置iscsi-target我们已经做过了,由于target上对lun做了chap认证,所以我们在客户端上也要配置认证。综合老外和国内使用的方法,我总结了几种方法。_________________________________________________第一种:全局配置的方法,客户端上连接的所有target可能都会使用这个账号和密码进行认证,适用于只有一个target参考 http...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值