Многим из вас знакомы продукты компании StarWind, предназначенные для создания отказоустойчивых хранилищ под различные платформы виртуализации. Одним из лидеров отрасли является решение StarWind Virtual SAN, у которого есть множество функций хранения, обеспечения доступности и защиты данных. Сегодня мы поговорим о том, как настраивать аутентификацию доступа к хранилищам через протокол Challenge-Handshake Authentication Protocol (CHAP) в этом решении.
CHAP - это протокол доступа, который предусматривает передачу не самого пароля пользователя, а косвенных сведений о нём. Он используется для аутентификации клиентов при доступе к хранилищам данных iSCSI, которые создаются в StarWind Virtual SAN, и к которым получают доступ хосты виртуализации VMware ESXi и Microsoft Hyper-V.
Агент аутентификации (обычно это сервер) посылает клиенту случайное значение, которое используется только однажды (чтобы защититься от атак с повторением) и ID. Клиент и сервер хранят заранее определенное кодовое слово (далее будем называть его паролем).
Получатель данных проводит некоторые операции со случайным значением, ID и кодовым словом и вычисляет MD5-хэш этой строки. Далее этот хэш посылается серверу, который на своей стороне проводит ту же самую операцию и сравнивает результаты - если они совпадают, то клиент аутентифицируется. Получается, что клиент и сервер хранят один и тот же пароль, но он никогда не посылается по сети. Это позволяет просто и безопасно разделять хранилища на уровне таргетов, не углубляясь в сложные механизмы контроля доступа.
StarWind Virtual SAN позволяет настроить аутентификацию CHAP как на глобальном уровне, так и на уровне отдельных таргетов.
Настройка CHAP со стороны StarWind Virtual SAN
Итак, раскрываем корневое дерево объектов StarWind Management Console и выбираем вкладку "CHAP Permissions". Далее из контекстного меню выбираем пункт "Add Permission":
Задаем имя CHAP, пароль (secret) и подтверждаем его:
Далее идем на вкладку "CHAP Permissions" и видим там созданное правило доступа:
Далее повторяем этот шаг для всех таргетов, к которым требуется настроить доступ.
Если вы хотите настроить индивидуальные правила, то в дереве объектов слева нужно выбрать нужный таргет и уже в нижней части панели выбрать "Add Permission" в разделе "CHAP Permissions":
Для HA-таргета надо выбрать пункт "Change Partner Authentication Settings" из контекстного меню HA-устройства:
Выбираем тип аутентификации CHAP и вводим имя и пароль:
На этом настройка со стороны StarWind Virtual SAN завершена, теперь нужно настроить эти параметры со стороны гипервизора.
Настройка CHAP на стороне Microsoft Hyper-V
Открываем настройки iSCSI-инициатора и выбираем таргет в зоне Discovered targets:
Нажимаем Advanced:
Вбиваем то же имя таргета и пароль:
Далее открываем Properties для iSCSI-инициатора и проверяем поле Authentication в разделе информации о сессии:
Также проверьте свойства Favorite Target Details:
Настройка CHAP на стороне VMware ESXi
Открываем vSphere Client и идем в раздел Configure > Storage > Storage Adapters. Там выбираем нужный адаптер и на вкладке Properties в разделе Authentication -> Method нажимаем на ссылку Edit:
Далее для адаптера выбираем Authentication Method как "Use unidirectional CHAP unless prohibited by target":
Ну и после ввода имени инициатора и пароля настройка со стороны VMware ESXi будет завершена.
Скачать пробную версию StarWind Virtual SAN можно бесплатно по этой ссылке.