利用ISCSI存储技术构建IP存储网络(安全篇)

简介:

前面的文章中,介绍了如何搭建一个简单的iSCSI网络存储系统,作为iSCSI initiator的客户端主机可以任意连接和使用iSCSI target共享出来的所有磁盘和分区,而在很多时候,通过授权认证连接共享磁盘或分区是必须的,例如:只允许客户端主机A连接target共享出来的磁盘分区一,而客户端主机B只允许连接target共享出来的磁盘分区二等等,在这种情况下,就需要在iSCSI target主机上进行授权设定了。
iSCSI 在授权访问和安全管理方面有着不错优势,它能够使用以主机为基础,也就是以 IP地址为基础来设定允许或拒绝存取;也可以通过用户账号密码认证来完成允许或拒绝存取的设定。
         下面通过一个应用案例来讲述iSCSI授权获取磁盘资源的方法。
有一个PC构架的iSCSI target服务器,共享的硬盘标识为/dev/sdc,大小10G,然后此硬盘划分了两个分区/dev/sdc1和/dev/sdc2,分别将/dev/sdc1共享给一个IP地址为192.168.12.136的windows客户端主机,将/dev/sdc2共享给一个IP地址为192.168.12.26的Linux客户端主机,iSCSI target服务器的IP地址为192.168.12.246。接下来通过IP认证和用户密码认证两种方式来讲述如何实现这种需求。

一、Initiator主机以IP认证方式获取iSCSI Target资源
 此种方式配置非常简单,只需在iSCSI target服务器上修改两个文件即可,首先在iscsitarget主目录/etc/iet目录下找到ietd.conf文件,然后添加如下内容:
Target iqn.2000-04.net.ixdba:sdc1
Lun 0 Path=/dev/sdc1,Type=fileio
Target iqn.2002-04.net.ixdba:sdc2
Lun 0 Path=/dev/sdc2,Type=fileio
在ietd.conf文件中,定义了两个Target,每个Target分别添加了对应的磁盘分区,接着修改/etc/iet/initiators.allow文件,这个文件是定义Initiator主机对target服务器的访问规则,作用类似与Linux操作系统中的/etc/hosts.allow文件。修改完成的initiators.allow文件内容如下:
iqn.2000-04.net.ixdba:sdc1 192.168.12.136
iqn.2002-04.net.ixdba:sdc2 192.168.12.26
修改完成,重启iscsi-target服务:
[root@iscsi-target iet]# service iscsi-target restart
Stopping iSCSI Target:                                     [  OK  ]
Starting iSCSI Target:                                     [  OK  ]
接着,在IP地址为192.168.12.26的Linux Initiator主机上执行如下操作:
[root@ Initiator iscsi]# /etc/init.d/iscsi restart
[root@ Initiator iscsi]#iscsiadm -m discovery -t sendtargets -p 192.168.12.246  
192.168.12.246:3260,1 iqn.2002-04.net.ixdba:sdc2
[root@ Initiator iscsi]#fdisk -l
Disk /dev/sda: 320.0 GB, 320072933376 bytes
255 heads, 63 sectors/track, 38913 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *           1          13      104391   83  Linux
/dev/sda2              14       38913   312464250   8e  Linux LVM

Disk /dev/sdb: 5724 MB, 5724794880 bytes
177 heads, 62 sectors/track, 1018 cylinders
Units = cylinders of 10974 * 512 = 5618688 bytes

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1               1        1018     5585735   83  Linux
通过重启iscsi服务,重新执行Target发现,Linux系统已经识别了Target共享出来的磁盘分区,其中“/dev/sdb: 5724 MB”就是iSCSI共享磁盘,接下来就可以在linux上管理和使用这个共享磁盘了。
最后,登录windows系统,打开Microsoft iSCSI Initiator,添加iSCSI共享磁盘即可,这个操作很简单,这里不在详述。

二、Initiator主机以密码认证方式获取iSCSI Target资源

iSCSI Target使用账号密码方式认证分成两阶段: 
第一阶段是Discovery查询认证所使用的账号和密码(即SendTargets 用的)。 
第二阶段是登入Target / iqn / Lun时所使用的账号密码(即Login登录时用的)。
此种方式在配置方面稍复杂一些,需要在Initiator主机和iSCSI Target服务器上做简单配置,下面分步介绍。
 

1 配置iSCSI Target
首先修改/etc/iet/initiators.allow文件,打开所有权限,修改后的内容如下:
#iqn.2000-04.net.ixdba:sdc1 192.168.12.136
#iqn.2002-04.net.ixdba:sdc2 192.168.12.26
ALL ALL
 接着修改/etc/iet/ietd.conf文件,修改后的内容如下:
IncomingUser  discovery.auth  discoverysecret

Target iqn.2000-04.net.ixdba:sdc1
IncomingUser  login.windows.auth  windowssecret
Lun 0 Path=/dev/sdc1,Type=fileio
 
Target iqn.2002-04.net.ixdba:sdc2
IncomingUser  login.linux.auth linuxsecret
Lun 0 Path=/dev/sdc2,Type=fileio
 其中,第一个“IncomingUser”是个全局参数,用来指定Discovery查询认证所使用的账号和密码,必须与initiator主机中设定的用户名密码一致。第二个和第三个“IncomingUser”选项包含在对应的Target中,用来指定windows和Linux客户端主机登录Target/iqn/Lun时所使用的账号密码。也必须与initiator主机中设定的用户名密码一致。
 所有配置完毕以后,重启iscsitarget服务。
 

2 配置Linux Initiator主机
修改/etc/iscsi/iscsid.conf文件,添加如下选项: 
#以下三个是针对login的
node.session.auth.authmethod = CHAP     #表示在login时启用CHAP验证。
node.session.auth.username = login.linux.auth    #验证用户名称,可以是任意字符,但必须与target端IncomingUse配置的名字一致。
node.session.auth.password = linuxsecret     #验证密码,必须与target端对应的IncomingUse选项设置的密码一致。

#以下三个是针对discovery的 
discovery.sendtargets.auth.authmethod = CHAP     #表示discovery时启用CHAP验证。
discovery.sendtargets.auth.username = discovery.auth  #验证用户名称,可以是任意字符,但必须与target端IncomingUse配置的名称一致。
discovery.sendtargets.auth.password = discoverysecret #验证密码,必须与target端对应的IncomingUse选项设置的密码一致。
配置完毕,重启initiator,重新执行Discovery查询,操作如下:
[root@ Initiator iscsi ]#/etc/init.d/iscsi restart
[root@ Initiator iscsi ]# iscsiadm -m discovery -t sendtargets -p 192.168.12.246
192.168.12.246:3260,1 iqn.2000-04.net.ixdba:sdc1
192.168.12.246:3260,1 iqn.2002-04.net.ixdba:sdc2
从查询结果可知,initiator查询到了两个Target,最后执行fdisk操作:
[root@ Initiator iscsi ]# fdisk -l
Disk /dev/sda: 320.0 GB, 320072933376 bytes
255 heads, 63 sectors/track, 38913 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *           1          13      104391   83  Linux
/dev/sda2              14       38913   312464250   8e  Linux LVM

Disk /dev/sdb: 5724 MB, 5724794880 bytes
177 heads, 62 sectors/track, 1018 cylinders
Units = cylinders of 10974 * 512 = 5618688 bytes

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1               1        1018     5585735   83  Linux
从fdisk的输出结果可知,Linux initiator已经成功连接了ISCSI共享磁盘,而“/dev/sdb: 5724 MB”就是识别的硬盘标识和大小。
 

3 配置windows Initiator主机
 配置windows Initiator主机的方法在前面章节已经有过介绍,这里仅仅讲述不同的地方,首先打开Microsoft iSCSI Initiator,选择第二个分页标签“Discovery”,然后在“Target Portals”部分点击“Add”按钮,跳出“Add Target Portal”窗口,在此窗口中填写iSCSI Target的IP地址和端口,填写完毕,点击“Advanced”按钮,如图1所示:

图1
 

在此界面下,选中“CHAP logon information”标签,然后填写Discovery查询认证所使用的账号和密码。填写完毕点击“确定”按钮。
接着选择第三个分页标签“Targets”,此时Initiator已经从iSCSI Target端查询到了两个Target,选中第一个名为“Target iqn.2000-04.net.ixdba:sdc1 ”的target,点击“Log On”按钮,然后在弹出的“Log On to Target”窗口中点击“Advanced”按钮,如图2所示:

图2
 

在此界面下,选中“CHAP logon information”标签,然后填写客户端登录iSCSI Target / iqn / Lun时所使用的账号密码。填写完毕点击“确定”按钮。
 此时,名为“Target iqn.2000-04.net.ixdba:sdc1 ”的target已经处于“Connectd”状态,即Microsoft iSCSI Initiator已经连接上了iSCSI Target服务器共享出来的磁盘分区,最后,查看windows磁盘管理器,可以看到共享硬盘分区,如图3所示:

图3
 

到这里为止,windows已经可以对这个iSCSI磁盘进行分区、格式化等操作了。
 












本文转自南非蚂蚁51CTO博客,原文链接: http://blog.51cto.com/ixdba/579286,如需转载请自行联系原作者




相关文章
|
1天前
|
存储 安全 网络安全
云计算与网络安全:一场技术与安全的较量
【6月更文挑战第16天】在数字化时代,云计算已经成为企业和个人存储、处理和管理数据的首选方式。然而,随着云计算的普及,网络安全问题也日益凸显。本文将探讨云计算与网络安全之间的关系,以及如何通过技术和策略来保护云服务的安全。
12 0
|
2天前
|
存储 安全 网络安全
云计算与网络安全:一场技术与安全的较量
【6月更文挑战第15天】随着云计算的普及,网络安全问题日益凸显。本文将探讨云计算与网络安全的关系,重点关注云服务、网络安全和信息安全等技术领域。我们将分析云计算面临的安全挑战,并提出相应的解决方案,以期在这场技术与安全的较量中取得胜利。
|
3天前
|
人工智能 安全 网络安全
网络犯罪分子开始利用AI绕过现代电子邮件安全措施
网络犯罪分子开始利用AI绕过现代电子邮件安全措施
|
3天前
|
存储 监控 安全
OT安全的本质:实现CISA网络安全绩效目标的前瞻性指南
OT安全的本质:实现CISA网络安全绩效目标的前瞻性指南
|
4天前
|
SQL 安全 网络安全
数字时代的守护者:网络安全与信息安全的前沿探索
【6月更文挑战第13天】在数字化浪潮中,网络安全与信息安全成为维系社会稳定、保护个人隐私和促进企业可持续发展的关键。本文深入探讨了网络安全漏洞的类型与成因,加密技术的最新进展以及提升公众安全意识的必要性,旨在为读者提供一套全面的网络安全知识框架。
|
4天前
|
存储 安全 网络安全
云计算与网络安全的交汇点:构建安全可靠的云服务
在数字化转型的浪潮中,云计算技术以其强大的计算能力和灵活的资源调度优势,迅速成为各行业信息化建设的核心。然而,随着云计算应用的普及,网络安全问题也日益凸显。本文探讨云计算与网络安全的交汇点,分析当前云服务的安全挑战,并提出相应的安全策略,以助力企业构建安全、可靠的云计算环境。
10 0
|
5天前
|
网络协议 Unix Linux
网络层协议及IP编址
网络层协议及IP编址
|
6天前
|
机器学习/深度学习 人工智能 安全
网络安全基础:防御是最佳进攻——构建坚实的网络安全防线
【6月更文挑战第12天】网络安全至关重要,防御是最佳进攻。本文探讨基础概念、关键策略及未来趋势。防火墙、入侵检测、加密技术、身份认证、访问控制、漏洞管理是防御关键。未来,人工智能、机器学习将增强威胁防御,零信任架构普及,隐私保护和数据安全成为焦点。构建坚实防线,持续学习改进,共同应对网络安全挑战。
|
6天前
|
存储 安全 网络安全
云端守护:云计算与网络安全的双剑合璧
【6月更文挑战第11天】随着云计算技术的飞速发展,数据存储和处理越来越多地依赖于远程服务器。然而,这也带来了前所未有的网络安全挑战。本文深入探讨了云服务、网络安全以及信息安全等技术领域的相互关系和影响,揭示了在数字化时代保护数据和隐私的重要性,并提出了有效的策略和技术以增强云端的安全性。
5 0
|
7天前
|
供应链 安全 网络安全
数字时代的守护者:网络安全与信息安全的前沿知识
【6月更文挑战第10天】在信息技术飞速发展的今天,网络安全与信息安全已成为全球关注的焦点。本文将深入探讨网络安全漏洞的成因及其防范措施,分析加密技术在保障数据安全中的核心作用,并强调提升个人和组织安全意识的重要性。通过分享最新的研究成果和实践案例,旨在为读者提供一套全面、实用的网络安全知识体系。

热门文章

最新文章