利用iscsi搭建ip存储网络第四讲

1、利用ISCSI搭建IP存储网络第四讲：iSCSI 在安全方面相关设定主讲人：高俊峰华章培训网、 华章培训网 1、授权访问iSCSI磁盘的必要性只允许客户端主机A连接target共享出来的磁盘分区一，而客户端主机B只允许连接target共享出来的磁盘分区二。案例：有一个PC构架的iSCSI target服务器，共享的硬盘标识为/dev/sdc和 /dev/sdd,大小分别为10G和5G，分别将/dev/sdd共享给一个IP地址为192.168.12.136的windows客户端主机，将/dev/sdc共享给一个IP地址为192.168.12.235的Linux客户端主机，iSCSI target

2、服务器的IP地址为192.168.12.246。iSCSI 在安全方面相关设定第2页2、Initiator主机以IP认证方式获取iSCSI Target资源修改/etc/iet目录下找到ietd.conf文件Target .ixdba:sdcLun 0 Path=/dev/sdc,Type=fileio,ScsiId=xyz,ScsiSN=xyzTarget .ixdba:sddLun 0 Path=/dev/sdd,Type=fileio,ScsiId=xyz,ScsiSN=xyz修改/etc/iet/initiators.allow文件 .ixdba:sdc 192.168.12.235

3、.ixdba:sdd 192.168.12.136iSCSI 在安全方面相关设定第3页3、 Initiator主机以密码认证获取iSCSI Target资源（1）修改/etc/iet/initiators.allow文件，修改后的内容如下： .ixdba:sdc 192.168.12.235 .ixdba:sdd 192.168.12.136ALL ALLiSCSI 在安全方面相关设定第4页3、 Initiator主机以密码认证获取iSCSI Target资源（2）接着修改/etc/iet/ietd.conf文件，修改后的内容如下： ingUser discovery.auth discove

4、rysecret第一个“ ingUser”是个全局参数，用来指定Discovery查询认证所使用的账号和密码，必须与initiator主机中设定的用户名密码一致。Target .ixdba:sdd ingUser login.windows.auth windowssecretLun 0 Path=/dev/sdd,Type=fileioTarget .ixdba:sdc ingUser login.linux.auth linuxsecretLun 0 Path=/dev/sdc,Type=fileioiSCSI 在安全方面相关设定第5页3、 Initiator主机以密码认证获取iSCSI

5、Target资源（2）接着修改/etc/iet/ietd.conf文件，修改后的内容如下：Target .ixdba:sdd ingUser login.windows.auth windowssecretLun 0 Path=/dev/sdd,Type=fileioTarget .ixdba:sdc ingUser login.linux.auth linuxsecretLun 0 Path=/dev/sdc,Type=fileio第二个和第三个“ ingUser”选项包含在对应的Target中，用来指定windows和Linux客户端主机登录Target/iqn/Lun时所使用的账号密码。

6、也必须与initiator主机中设定的用户名密码一致。iSCSI 在安全方面相关设定第6页（3）配置Linux Initiator主机修改/etc/iscsi/iscsid.conf文件，添加如下选项： #以下三个是针对login的node.session.auth.authmethod = CHAP #表示在login时启用CHAP验证。node.session.auth.username = login.linux.auth #验证用户名称，可以是任意字符，但必须与target端 ingUse配置的名字一致。node.session.auth.password = linuxsecret

7、#验证密码，必须与target端对应的 ingUse选项设置的密码一致。 iSCSI 在安全方面相关设定第7页（3）配置Linux Initiator主机#以下三个是针对discovery的 discovery.sendtargets.auth.authmethod = CHAP #表示discovery时启用CHAP验证。discovery.sendtargets.auth.username = discovery.auth #验证用户名称，可以是任意字符，但必须与target端 ingUse配置的名称一致。discovery.sendtargets.auth.password = discoverysecret #验证密码，必须与target端对应的 ingUse选项设置的密码一致。配置完毕，重启initiator，重新执行Discovery查询，操作如下：root Initiator iscsi #/etc/init.d/iscsi restartroot Initiator iscsi # iscsiadm -