iSCSI认证配置_iscsi initiator的认证-CSDN博客

本文链接：https://blog.csdn.net/stpice/article/details/120275462

iSCSI认证配置

使用LinuxIO软件target等进行设置

名词:
　　Endpoint: 目标名称与显式或屏蔽的TPG (IQN/WWN +标记)的组合。
　　Initiator: 控制SCSI会话开启和结束的控制设备,比较典型的就是计算机。
　　Target: SCSI会话的接收端，通常是磁盘驱动器、磁带驱动器或扫描仪等设备。
　　IQN (iSCSI限定名): iSCSI的一种名称格式，惟一标识世界上的每个设备(例如iqn.5886.com.acme.tapedrive.sn-a12345678)。
　　Network Portal: iSCSI端点与IP地址和TCP端口的组合。IANA定义的iSCSI协议的TCP端口号是3260。
　　TPG(Target Portal Group): IP地址和TCP端口号的列表，确定特定iSCSI目标将侦听哪些接口。
　　WWN (World Wide Name): 标识特定光纤通道或InfiniBand目标的唯一标识符。每个WWN是一个8字节的数字，来自IEEE OUI和供应商提供的信息。

内核版本：Linux localhost.localdomain 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

targetcli版本：/usr/bin/targetcli version 2.1.fb46

iscsid版本：iscsid version 6.2.0.874-10

iSCSI的安全认证

这三种CHAP的关系和区别：

discovery CHAP：全局认证.只有认证通过才能看到设备。
TPG CHAP：一个target下的全局只读认证，若要使用TPG认证的用户名和密码,就不能配置LUN级别的ACL，因为LUN级别的ACL优先级更高,它会覆盖TPG级别的用户名和密码.所以若要使用TPG级别的用户名。密码就不能配置LUN级别的ACL,但这样认证是正常了,但用户挂载后,就只能有读权限,而没有写权限。
LUN ACL CHAP：这是最精确的权限控制,配置后,用户必须使用提供该ACL的WWN,以便使用该ACL的用户名和密码做CHAP认证,否则iSCSI将无法知道用户到底提供的是那个ACL的用户名和密码,导致用户即便发现了并且成功登录的iSCSI,也无法获取该LUN设备的写权限。

设置targetcli，配置discovery认证和tpg认证，通过认证后，磁盘只有只读权限

# targetcli进入交互模式
[root@storage-test ~]# targetcli 
targetcli shell version 2.1.fb46
Copyright 2011-2013 by Datera, Inc and others.
For help on commands, type 'help'.

# discovery CHAP:
# 1. 启用发现CHAP认证
/> cd iscsi/
/iscsi> 
#下面都在此目录下操作
/iscsi> set discovery_auth enable=1
# 2. 启用单向CHAP认证, 客户端必须提供这里设置的用户名和密码,才能发现iSCSI输出的target.
/iscsi> set discovery_auth userid=disUser password=dis123456
# 3. 启用双向CHAP认证,即客户端要提供上面设置的服务器端的用户名和密码,同时服务器端必须提供客户端所设置的用户名和密码,才能认证通过.
/iscsi> set discovery_auth mutual_userid=ClientDisUser mutual_password=dis654321
# 4. 查询配置:
/iscsi> get discovery_auth

DISCOVERY_AUTH CONFIG GROUP
===========================
enable=True
-----------
The enable discovery_auth parameter.

mutual_password=dis654321
-------------------------
The mutual_password discovery_auth parameter.

mutual_userid=ClientDisUser
---------------------------
The mutual_userid discovery_auth parameter.

password=dis123456
------------------
The password discovery_auth parameter.

userid=disUser
--------------
The userid discovery_auth parameter.

# 设置tgt全局认证，这种认证方式必须保证acls下边没有添加的客户端列表，否则验证不会生效。验证通过后，块设备只有只读权限（后文会实验）。
/iscsi> cd iqn.2021-06.com.test.www:backstorage/tpg1/
/iscsi/iqn.20...kstorage/tpg1> get auth
AUTH CONFIG GROUP
=================
mutual_password=
----------------
The mutual_password auth parameter.

mutual_userid=
--------------
The mutual_userid auth parameter.

password=
---------
The password auth parameter.

userid=
-------
The userid auth parameter.

/iscsi/iqn.20...kstorage/tpg1> set attribute authentication=1 generate_node_acls=1
Parameter authentication is now '1'.
Parameter generate_node_acls is now '1'.
/iscsi/iqn.20...kstorage/tpg1>