1、项目17配置iSCSI传输的安全性 IQN CHAP身份认证 双向CHAPiSCSI标识创建iSCSI虚拟磁盘时,需要指定标识,发起方只有满足这些标识,才能正确连接iSCSI虚拟磁盘iSCSI有以下四种标识:IQN DNS域名 IP地址 MAC地址其中,最常用的为IP地址和IQN。IQNIQN:iSCSI Qualified Name,用于标识iSCSI客户端,格式如下:“iqn”+“.”+“年月”+“.”+“域名的倒序”+“:”+“设备名称”IQN采用了颠倒域名,这是为了避免可能的冲突,一般客户端软件都会自动生成IQN,也可以自定义IQN,一个合法的IQN如下:iqn.2016-.edu.f
2、tp:ftp_serverCHAPCHAP(挑战握手后验证协议,Challenge Hannd Authentication Protocol),它通过三次握手机制来与远程节点建立一条可信连接。在iSCSI客户端需要连接网络存储的iSCSI逻辑硬盘时,客户端会想服务端发起iSCSI连接请求,双方通过协商后将采用CHAP进行身份验证,验证报文将使用MD5进行加密后发送。CHAP验证过程CHAP身份验证挑战阶段服务端收到客户端的CHAP验证请求后,服务端会向客户端发送一段随机的报文,并加上用户名user1,这个过程称为“挑战”。Server向Client发送的挑战报文包含:挑战分组类型标识符(01
3、)、标识该挑战分组的序列号(ID)、随机数、挑战方的用户名(这里为user1)。服务端发送的挑战报文数据将会保留在存储服务器数据库中。CHAP身份验证回应阶段当Client收到server的挑战报文后,将从中提取出server所发送过来的用户名,然后在后台数据库中去查找用户名为user1的记录,并获取对应的密码,这里为passowrd。然后将用户名、密码、报文ID、和随机报文用MD5加密算法进行加密,并获得密文的哈希值。最后把这个哈希值放到CHAP回应报文中并发送给服务端。CHAP身份验证成功服务端收到客户端的回应报文后,同样去提取报文中的用户名,然后查找本地的数据库中对应的密码、保留报文ID
4、和随机报文,并用MD5加密算法加密,最终获得该密文的哈希值。服务器将把自己的哈希值和客户端报文的哈希值进行比较,如果相同则表示验证成功,将返回Ack(验证成功)。CHAP身份验证失败如果比对失败,表示验证失败,将返回Nak(验证失败)。CHAP双向验证一般情况下,启用CHAP时,服务端会向客户端发起CHAP验证。如果启用CHAP双向验证,在服务端发起验证的同时,客户端也会发起验证,形成双向验证。项目背景公司部署了iSCSI虚拟磁盘之后有效解决了公司业务服务器存储空间的统一分配与管理问题,但是LUN卷和存储之间的连接没有配置身份验证,存在安全隐患,为防止内部员工伪造公司服务器IP或IQN来连接并使用LUN卷,公司希望能加强服务器和存储连接的安全性。网络拓扑项目分析在IP SAN的连接中,可以有以下几种方式来提高服务端与客户端连接的安全性:1、要求客户端尽量避免使用IP地址,而是使用IQN、MAC或计算机ID等作为客户端标识 2、启用身份验证IQN和计算机ID具有唯一性特征,相对IP地址较不容易被员工获取;而启用身份验证的安全性更高,iSCSI基于CHAP协议进行身份验证。项目分析因此,为提高iSCSI传输的安全性,本项目中将演示如何基于CHAP协议来实现iSCSI传输的安全性,具体涉及以下工作任务:任务1 在网络存储服务器和客户端上配置验证服务 任务2 在应用服务器上连接LUN磁盘