7.5. 限制对目标组的访问¶
可以通过基于 ACL 的授权以及基于密码的身份验证 (CHAP) 来限制对整个目标组(及其所有附加卷)的访问。
7.5.1. 管理访问控制列表¶
访问控制列表(ACL)限制了对特定启动器选定的LUN的访问。不在该列表中的发起程序有权访问 iSCSI 目标组中的所有 LUN。但是,通过光纤通道目标组导出的卷只可以供已添加至“ACL”组的发起程序访问。
要将发起程序添加至目标组的 ACL,请执行以下操作:
打开存储服务 > 块存储 > 目标组,然后在该列表中单击所选目标组(组名称以外的任何位置)。
在组右侧窗格中,单击访问控制,然后单击铅笔图标。
在访问控制窗口,选中 ACL ** 复选框,然后单击**添加。
在添加 ACL窗口中,指定发起程序的 IQN、输入一个别名,选择它将可以访问的 LUN,然后单击添加。该发起程序将显示在 ACL 中。
使用启动器填充 ACL 后,单击 保存 。
要在 ACL 中编辑或删除发起程序,请执行以下操作:
在目标组详细信息中单击铅笔图标。
在访问控制窗口中,单击所需发起程序的铅笔图标,然后单击编辑或删除。
在更改 ACL 后,单击保存。
7.5.2. 管理 CHAP 用户¶
质询握手身份验证协议 (CHAP) 通过要求发起程序提供用户名和密码,从而可限制对目标及其 LUN 的访问。CHAP 帐户适用于整个目标组。光纤通道目标组不使用 CHAP。
要将对目标组的访问限制为特定 CHAP 用户,请执行以下操作:
打开存储服务 > 块存储 > 目标组,然后在该列表中单击所选目标组(组名称以外的任何位置)。
在组右侧窗格中,单击访问控制,然后单击铅笔图标。
在访问控制窗口中,选中 CHAP 复选框,然后单击创建用户。
在创建 CHAP 用户窗口中,输入用户名和密码(字符长度为 12 至 16)。单击创建。
返回访问控制屏幕,选择所需 CHAP 用户,然后单击保存。
要更改 CHAP 用户的密码,请执行以下操作:
打开存储服务 > 块存储 > CHAP 用户、单击某个用户以打开详细信息,然后单击铅笔图标。
在编辑 CHAP 用户窗口中,指定一个新密码,然后单击应用。
要删除未添加至任何 ACL 的 CHAP 用户,请打开存储服务 > 块存储 > CHAP 用户、单击该用户的省略号图标,然后单击删除。