利用ISCSI搭建IP存储网络第四讲课件.ppt

华章培训 利用ISCSI搭建IP存储网络第四讲：iSCSI 在安全方面相关设定 1、授权访问iSCSI磁盘的必要性 只允许客户端主机A连接target共享出来的磁盘分区一，而客户端主机B只允许连接target共享出来的磁盘分区二。 案例： 有一个PC构架的iSCSI target服务器，共享的硬盘标识为/dev/sdc和 /dev/sdd,大小分别为10G和5G，分别将/dev/sdd共享给一个IP地址为36的windows客户端主机，将/dev/sdc共享给一个IP地址为35的Linux客户端主机，iSCSI target服务器的IP地址为46。 iSCSI 在安全方面相关设定 第*页 2、 Initiator主机以IP认证方式获取iSCSI Target资源 修改/etc/iet目录下找到ietd.conf文件 Target .ixdba:sdc Lun 0 Path=/dev/sdc,Type=fileio,ScsiId=xyz,ScsiSN=xyz Target .ixdba:sdd Lun 0 Path=/dev/sdd,Type=fileio,ScsiId=xyz,ScsiSN=xyz 修改/etc/iet/initiators.allow文件 .ixdba:sdc 35 .ixdba:sdd 36 iSCSI 在安全方面相关设定 第*页 3、 Initiator主机以密码认证获取iSCSI Target资源 （1）修改/etc/iet/initiators.allow文件，修改后的内容如下： #.ixdba:sdc 35 #.ixdba:sdd 36 ALL ALL iSCSI 在安全方面相关设定 第*页 3、 Initiator主机以密码认证获取iSCSI Target资源 （2）接着修改/etc/iet/ietd.conf文件，修改后的内容如下： IncomingUser discovery.auth discoverysecret 第一个“IncomingUser”是个全局参数，用来指定Discovery查询认证所使用的账号和密码，必须与initiator主机中设定的用户名密码一致。 Target .ixdba:sdd IncomingUser login.windows.auth windowssecret Lun 0 Path=/dev/sdd,Type=fileio Target .ixdba:sdc IncomingUser login.linux.auth linuxsecret Lun 0 Path=/dev/sdc,Type=fileio iSCSI 在安全方面相关设定 第*页 3、 Initiator主机以密码认证获取iSCSI Target资源 （2）接着修改/etc/iet/ietd.conf文件，修改后的内容如下： Target .ixdba:sdd IncomingUser login.windows.auth windowssecret Lun 0 Path=/dev/sdd,Type=fileio Target .ixdba:sdc IncomingUser login.linux.auth linuxsecret Lun 0 Path=/dev/sdc,Type=fileio 第二个和第三个“IncomingUser”选项包含在对应的Target中，用来指定windows和Linux客户端主机登录Target/iqn/Lun时所使用的账号密码。也必须与initiator主机中设定的用户名密码一致。 iSCSI 在安全方面相关设定 第*页 （3）配置Linux Initiator主机 修改/etc/iscsi/iscsid.conf文件，添加如下选项： #以下三个是针对login的 node.session.auth.authmethod = CHAP #表示在login时启用CHAP验证。 node.session.auth.username = login.linux.auth #验证用户名称，可以是任意字符，但必须与target端IncomingUse配置的名字一致。 node.session.auth.password = linuxsecret #验证密码，必须与target端对应的IncomingUse选项设置的密码一致。 iSCSI 在安全方面相关设定 第*页 （3）配置Linux Initiator主机 #以下三个是针对discovery的 discovery.sendtargets.auth.authmethod = CHAP #表示discovery时启用CHAP验证。 discov