7.5. Restricción del acceso a grupos de destinos

Puede restringir el acceso a grupos de destinos al completo (y todos los volúmenes conectados a estos) usando la autorización basada en ACL, así como con la autenticación basada en contraseña (CHAP).

7.5.1. Gestión de listas de control de acceso

Una lista de control de acceso (ACL) limita el acceso a los LUN seleccionados para iniciadores específicos. Los iniciadores que no estén en la lista tienen acceso a todos los LUN en los grupos de objetivos de iSCSI. Sin embargo, solo pueden acceder a los volúmenes exportados a través de los grupos de destinos de canal de fibra los iniciadores añadidos a una ACL de grupo.

Para añadir un iniciador a la ACL de un grupo de destinos, haga lo siguiente:

  1. Abra Servicios de almacenamiento > Almacenamiento de bloques > Grupos de destinos y haga clic en el grupo de destinos deseado de la lista (en cualquier punto excepto en el nombre del grupo).

  2. En el panel derecho del grupo, haga clic en Control de acceso y, a continuación, haga clic en el icono de lápiz.

    ../_images/iscsi_acls1_ac.png

  3. En la ventana Control de acceso, seleccione la casilla de verificación ACL y, a continuación, haga clic en Añadir permisos.

    ../_images/iscsi_acls2_ac.png

  4. En la ventana Añadir ACL, especifique el IQN del iniciador, introduzca un alias, seleccione los LUN a los que podrá acceder y, a continuación, haga clic en Añadir. El iniciador aparecerá en la ACL.

    ../_images/iscsi_acls3_ac.png

  5. Cuando la ACL se haya rellenado con iniciadores, haga clic en Guardar.

Para editar o eliminar iniciadores en la ACL, haga lo siguiente:

  1. Haga clic en el icono de lápiz de los detalles del grupo de destinos.
  2. En la ventana Control de acceso, haga clic en el icono de lápiz del iniciador deseado y, a continuación, haga clic en Editar o Eliminar.
  3. Una vez cambiada la ACL, haga clic en Guardar.

7.5.2. Gestión de usuarios CHAP

El protocolo de autenticación por desafío mutuo (CHAP) proporciona una forma de restringir el acceso a destinos y a sus LUN al solicitar un nombre de usuario y contraseña del iniciador. Las cuentas CHAP se aplican al grupo de destinos al completo. Los grupos de destinos del canal de fibra no utilizan CHAP.

Para restringir el acceso a un grupo de destinos a un usuario CHAP en concreto, haga lo siguiente:

  1. Abra Servicios de almacenamiento > Almacenamiento de bloques > Grupos de destinos y haga clic en el grupo de destinos deseado de la lista (en cualquier punto excepto en el nombre del grupo).

  2. En el panel derecho del grupo, haga clic en Control de acceso y, a continuación, haga clic en el icono de lápiz.

    ../_images/iscsi_acls1_ac.png

  3. En la ventana Control de acceso, seleccione la casilla de verificación CHAP y, a continuación, haga clic en Crear usuario.

    ../_images/iscsi_users1_ac.png

  4. En la ventana Crear usuario CHAP, introduzca un nombre de usuario y una contraseña (de 12 a 16 caracteres de longitud). Haga clic en Crear.

    ../_images/iscsi_users2_ac.png

  5. De vuelta a la pantalla Control de acceso, seleccione el usuario CHAP deseado y haga clic en Guardar.

    ../_images/iscsi_users3_ac.png

Para cambiar la contraseña de un usuario CHAP, lleve a cabo los siguientes pasos:

  1. Abra Servicios de almacenamiento > Almacenamiento de bloques > Usuarios CHAP, haga clic en un usuario para abrir su panel derecho y haga clic en el icono de lápiz.
  2. En la ventana Editar usuario CHAP, especifique una contraseña nueva y, a continuación, haga clic en Aplicar.

Para eliminar un usuario CHAP que no haya sido añadido a ninguna ACL, abra Servicios de almacenamiento > Almacenamiento de bloques > Usuarios CHAP, haga clic en el icono de puntos suspensivos del usuario y, a continuación, en Eliminar.

15 de octubre de 2020
Imprimir