7.5. 限制对目标组的访问

可以通过基于 ACL 的授权以及基于密码的身份验证 (CHAP) 来限制对整个目标组(及其所有附加卷)的访问。

7.5.1. 管理访问控制列表

访问控制列表(ACL)限制了对特定启动器选定的LUN的访问。不在该列表中的发起程序有权访问 iSCSI 目标组中的所有 LUN。但是,通过光纤通道目标组导出的卷只可以供已添加至“ACL”组的发起程序访问。

要将发起程序添加至目标组的 ACL,请执行以下操作:

  1. 打开存储服务 > 块存储 > 目标组,然后在该列表中单击所选目标组(组名称以外的任何位置)。

  2. 在组右侧窗格中,单击访问控制,然后单击铅笔图标。

    ../_images/iscsi_acls1_ac.png

  3. 访问控制窗口,选中 ACL ** 复选框,然后单击**添加

    ../_images/iscsi_acls2_ac.png

  4. 添加 ACL窗口中,指定发起程序的 IQN、输入一个别名,选择它将可以访问的 LUN,然后单击添加。该发起程序将显示在 ACL 中。

    ../_images/iscsi_acls3_ac.png

  5. 使用启动器填充 ACL 后,单击 保存

要在 ACL 中编辑或删除发起程序,请执行以下操作:

  1. 在目标组详细信息中单击铅笔图标。

  2. 访问控制窗口中,单击所需发起程序的铅笔图标,然后单击编辑删除

  3. 在更改 ACL 后,单击保存

7.5.2. 管理 CHAP 用户

质询握手身份验证协议 (CHAP) 通过要求发起程序提供用户名和密码,从而可限制对目标及其 LUN 的访问。CHAP 帐户适用于整个目标组。光纤通道目标组不使用 CHAP。

要将对目标组的访问限制为特定 CHAP 用户,请执行以下操作:

  1. 打开存储服务 > 块存储 > 目标组,然后在该列表中单击所选目标组(组名称以外的任何位置)。

  2. 在组右侧窗格中,单击访问控制,然后单击铅笔图标。

    ../_images/iscsi_acls1_ac.png

  3. 访问控制窗口中,选中 CHAP 复选框,然后单击创建用户

    ../_images/iscsi_users1_ac.png

  4. 创建 CHAP 用户窗口中,输入用户名和密码(字符长度为 12 至 16)。单击创建

    ../_images/iscsi_users2_ac.png

  5. 返回访问控制屏幕,选择所需 CHAP 用户,然后单击保存

    ../_images/iscsi_users3_ac.png

要更改 CHAP 用户的密码,请执行以下操作:

  1. 打开存储服务 > 块存储 > CHAP 用户、单击某个用户以打开详细信息,然后单击铅笔图标。

  2. 编辑 CHAP 用户窗口中,指定一个新密码,然后单击应用

要删除未添加至任何 ACL 的 CHAP 用户,请打开存储服务 > 块存储 > CHAP 用户、单击该用户的省略号图标,然后单击删除

2020 年 10 月 23 日
Print