7.5. ターゲットグループへのアクセスの制限

ACLベースの認証とパスワードベースの認証(CHAP)を使用して、ターゲットグループ全体とターゲットグループに接続しているすべてのボリュームに対するアクセスを制限できます。

7.5.1. アクセス制御リストの管理

アクセス制御リスト(ACL)を使用すれば、特定のイニシエータを対象にして、選択したLUNへのアクセスを制限できます。そのリストに載っていないイニシエータは、iSCSIターゲットグループ内のすべてのLUNにアクセスできます。ただし、ファイバーチャネルターゲットグループによってエクスポートするボリュームには、グループACLに追加したイニシエータからしかアクセスできません。

ターゲットグループのACLにイニシエータを追加するには、以下の手順を実行します。

  1. [ストレージサービス] > [ブロックストレージ] > [ターゲットグループ] を開いて、リスト内の対象のターゲットグループをクリックします(グループの名前以外の場所をクリックしてください)。

  2. グループの右側のペインで [アクセス制御] をクリックし、鉛筆のアイコンをクリックします。

    ../_images/iscsi_acls1_ac.png

  3. [アクセス制御] ウィンドウで、[ACL] チェックボックスをオンにし、[追加] をクリックします。

    ../_images/iscsi_acls2_ac.png

  4. [ACLを追加] ウィンドウで、イニシエータのIQNを指定し、エイリアスを入力し、アクセスしてよいLUNを選択して、[追加] をクリックします。そのイニシエータがACLに表示されます。

    ../_images/iscsi_acls3_ac.png

  5. ACLにイニシエータを追加したら、[保存] をクリックします。

ACLに載っているイニシエータを編集したり削除したりするには、以下の手順を実行します。

  1. ターゲットグループの詳細情報で鉛筆のアイコンをクリックします。
  2. [アクセス制御] ウィンドウで、対象のイニシエータの鉛筆のアイコンをクリックし、[編集] または [削除] をクリックします。
  3. ACLを変更したら、[保存] をクリックします。

7.5.2. CHAPユーザーの管理

Challenge-Handshake Authentication Protocol(CHAP)は、イニシエータのユーザー名とパスワードを要求することによって、ターゲットとLUNに対するアクセスを制限する方式です。CHAPアカウントの対象はターゲットグループ全体になります。ファイバーチャネルターゲットグループではCHAPを使用しません。

特定のCHAPユーザーを対象にして、ターゲットグループへのアクセスを制限するには、以下の手順を実行します。

  1. [ストレージサービス] > [ブロックストレージ] > [ターゲットグループ] を開いて、リスト内の対象のターゲットグループをクリックします(グループの名前以外の場所をクリックしてください)。

  2. グループの右側のペインで [アクセス制御] をクリックし、鉛筆のアイコンをクリックします。

    ../_images/iscsi_acls1_ac.png

  3. [アクセス制御] ウィンドウで、[CHAP] チェックボックスをオンにし、[ユーザーを作成] をクリックします。

    ../_images/iscsi_users1_ac.png

  4. [CHAPユーザーを作成] ウィンドウで、ユーザー名とパスワード(長さは12文字から16文字)を入力します。[作成] をクリックします。

    ../_images/iscsi_users2_ac.png

  5. [アクセス制御] 画面に戻って、対象のCHAPユーザーを選択し、[保存] をクリックします。

    ../_images/iscsi_users3_ac.png

CHAPユーザーのパスワードを変更するには、以下の手順を実行します。

  1. [ストレージサービス] > [ブロックストレージ] > [CHAPユーザー] を開き、ユーザーをクリックして右側のペインを開いて、鉛筆のアイコンをクリックします。
  2. [CHAPユーザーを編集] ウィンドウで、新しいパスワードを指定して [適用] をクリックします。

どのACLにも追加されていないCHAPユーザーを削除するには、[ストレージサービス] > [ブロックストレージ] > [CHAPユーザー] を開いて、ユーザーの省略記号のアイコンをクリックし、[削除] をクリックします。

2020年10月21日
Print