7.5. Den Zugriff auf Zielgruppen einschränken

Sie können den Zugriff auf komplette Zielgruppen (und alle an diese angeschlossenen Volumes) mithilfe einer ACL-basiertem Autorisierung sowie einer Kennwort-basierten Authentifizierung (CHAP) einschränken.

7.5.1. Zugriffssteuerungslisten (ACLs) verwalten

Eine Zugriffssteuerungsliste (ACL, Access Control List) beschränkt den Zugriff auf ausgewählte LUNs für bestimmte Initiatoren. Initiatoren, die nicht auf der Liste stehen, haben Zugriff auf alle LUNs in iSCSI-Zielgruppen. Auf Volumes, die über Fibre Channel-Zielgruppen exportiert werden, können jedoch nur Initiatoren zugreifen, die zur ACL einer Gruppe hinzugefügt wurden.

Gehen Sie folgendermaßen vor, um einen Initiator zur ACL einer Zielgruppe hinzuzufügen:

  1. Öffnen Sie den Bereich Storage-Services –> Block-Storage –> Zielgruppen und klicken Sie dann auf die gewünschte Zielgruppe in der Liste (irgendwo, außer auf den Namen der Gruppe).

  2. Klicken Sie in rechten Fensterbereich der Gruppe auf den Befehl Zugriffssteuerung und dann auf das Stiftsymbol.

    ../_images/iscsi_acls1_ac.png

  3. Aktivieren Sie im Zugriffssteuerung das Kontrollkästchen ACL und klicken Sie dann auf Hinzufügen.

    ../_images/iscsi_acls2_ac.png

  4. Spezifizieren Sie im Fenster ACL hinzufügen den IQN des Initiators, geben Sie einen Alias-Namen ein und wählen Sie die LUNs aus, auf die der Initiator zugreifen können soll – und klicken Sie dann auf Hinzufügen. Der Initiator wird in der Zugriffssteuerungsliste (ACL) angezeigt.

    ../_images/iscsi_acls3_ac.png

  5. Klicken Sie, wenn Sie die ACL mit Initiatoren befüllt haben, auf den Befehl Speichern.

Gehen Sie folgendermaßen vor, um Initiatoren in der ACL zu bearbeiten oder zu löschen:

  1. Klicken Sie in den Zielgruppendetails auf das Stiftsymbol.
  2. Klicken Sie im Fenster Zugriffssteuerung zuerst auf das Stiftsymbol des gewünschen Initiators und dann auf den Befehl Bearbeiten oder Löschen.
  3. Wenn Sie die ACL geändert haben, klicken Sie auf Speichern.

7.5.2. CHAP-Benutzer verwalten

CHAP (Challenge-Handshake Authentication Protocol) ermöglicht es, den Zugriff auf Ziele und deren LUNs zu beschränken, indem der Initiator Anmeldedaten (Benutzername, Kennwort) bereitstellen muss. CHAP-Konten gelten für komplette Zielgruppen. Fibre Channel-Zielgruppen verwenden kein CHAP.

Gehen Sie folgendermaßen vor, um für einen bestimmten CHAP-Benutzer den Zugriff auf eine Zielgruppe zu beschränken:

  1. Öffnen Sie den Bereich Storage-Services –> Block-Storage –> Zielgruppen und klicken Sie dann auf die gewünschte Zielgruppe in der Liste (irgendwo, außer auf den Namen der Gruppe).

  2. Klicken Sie in rechten Fensterbereich der Gruppe auf den Befehl Zugriffssteuerung und dann auf das Stiftsymbol.

    ../_images/iscsi_acls1_ac.png

  3. Aktivieren Sie im Zugriffssteuerung das Kontrollkästchen CHAP und klicken Sie dann auf Benutzer erstellen.

    ../_images/iscsi_users1_ac.png

  4. Geben Sie im Fenster CHAP-Benutzer erstellen einen Benutzernamen und ein Kennwort (12 bis 16 Zeichen lang) ein. Klicken Sie auf Erstellen.

    ../_images/iscsi_users2_ac.png

  5. Wählen Sie, wenn Sie zurück im Fenster Zugriffssteuerung sind, den gewünschten CHAP-Benutzer aus und klicken Sie dann auf Speichern.

    ../_images/iscsi_users3_ac.png

Gehen Sie folgendermaßen vor, um das Kennwort eines CHAP-Benutzers zu ändern:

  1. Öffnen Sie Storage-Services –> Block-Storage –> CHAP-Benutzer, klicken Sie auf einen Benutzer, um dessen rechten Fensterbereich zu öffnen, und klicken Sie dann auf das Stiftsymbol.
  2. Spezifizieren Sie im Fenster CHAP-Benutzer bearbeiten ein neues Kennwort und klicken Sie dann auf Anwenden.

Wenn Sie einen CHAP-Benutzer löschen wollen, der keiner ACL hinzugefügt wurde, müssen Sie zuerst den Bereich Storage-Services –> Block-Storage –> CHAP-Benutzer öffnen, dann auf das Drei-Punkte-Symbol des Benutzers klicken und anschließend auf den Befehl Löschen.

20.10.2020
Drucken