利用ISCSI存储技术构建IP存储网络.doc

利用ISCSI存储技术构建IP存储网络（安全篇）2012-09-24 10:47:36|分类：openfiler系统+fr|举报|字号订阅在前面的文章中，介绍了如何搭建一个简单的iSCSI网络存储系统，作为iSCSI initiator的客户端主机可以任意连接和使用iSCSI target共享出来的所有磁盘和分区，而在很多时候，通过授权认证连接共享磁盘或分区是必须的，例如：只允许客户端主机A连接target共享出来的磁盘分区一，而客户端主机B只允许连接target共享出来的磁盘分区二等等，在这种情况下，就需要在iSCSI target主机上进行授权设定了。iSCSI 在授权访问和安全管理方面有着不错优势，它能够使用以主机为基础，也就是以 IP地址为基础来设定允许或拒绝存取；也可以通过用户账号密码认证来完成允许或拒绝存取的设定。 下面通过一个应用案例来讲述iSCSI授权获取磁盘资源的方法。有一个PC构架的iSCSI target服务器，共享的硬盘标识为/dev/sdc,大小10G，然后此硬盘划分了两个分区/dev/sdc1和/dev/sdc2，分别将/dev/sdc1共享给一个IP地址为36的windows客户端主机，将/dev/sdc2共享给一个IP地址为6的Linux客户端主机，iSCSI target服务器的IP地址为46。接下来通过IP认证和用户密码认证两种方式来讲述如何实现这种需求。一、Initiator主机以IP认证方式获取iSCSI Target资源此种方式配置非常简单，只需在iSCSI target服务器上修改两个文件即可，首先在iscsitarget主目录/etc/iet目录下找到ietd.conf文件，然后添加如下内容：Target .ixdba:sdc1Lun 0 Path=/dev/sdc1,Type=fileioTarget .ixdba:sdc2Lun 0 Path=/dev/sdc2,Type=fileio在ietd.conf文件中，定义了两个Target，每个Target分别添加了对应的磁盘分区，接着修改/etc/iet/initiators.allow文件，这个文件是定义Initiator主机对target服务器的访问规则，作用类似与Linux操作系统中的/etc/hosts.allow文件。修改完成的initiators.allow文件内容如下：.ixdba:sdc1 36.ixdba:sdc2 6修改完成，重启iscsi-target服务：rootiscsi-target iet# service iscsi-target restartStopping iSCSI Target: OK Starting iSCSI Target: OK 接着，在IP地址为6的Linux Initiator主机上执行如下操作：root Initiator iscsi# /etc/init.d/iscsi restartroot Initiator iscsi#iscsiadm -m discovery -t sendtargets -p 4646:3260,1 .ixdba:sdc2root Initiator iscsi#fdisk -lDisk /dev/sda: 320.0 GB, 320072933376 bytes255 heads, 63 sectors/track, 38913 cylindersUnits = cylinders of 16065 * 512 = 8225280 bytes Device Boot Start End Blocks Id System/dev/sda1 * 1 13 104391 83 Linux/dev/sda2 14 38913 312464250 8e Linux LVMDisk /dev/sdb: 5724 MB, 5724794880 bytes177 heads, 62 sectors/track, 1018 cylindersUnits = cylinders of 10974 * 512 = 5618688 bytes Device Boot Start End Blocks Id System/dev/sdb1 1 1018 5585735 83 Linux通过重启iscsi服务，重新执行Target发现，Linux系统已经识别了Target共享出来的磁盘分区，其中“/dev/sdb: 5724 MB”就是iSCSI共享磁盘，接下来就可以在linux上管理和使用这个共享磁盘了。最后，登录windows系统，打开Microsoft iSCSI Initiator，添加iSCSI共享磁盘即可，这个操作很简单，这里不在详述。二、Initiator主机以密码认证方式获取iSCSI Target资源iSCSI Target使用账号密码方式认证分成两阶段：第一阶段是Discovery查询认证所使用的账号和密码（即SendTargets 用的）。第二阶段是登入Target / iqn / Lun时所使用的账号密码（即Login登录时用的）。此种方式在配置方面稍复杂一些，需要在Initiator主机和iSCSI Target服务器上做简单配置，下面分步介绍。1配置iSCSI Target首先修改/etc/iet/initiators.allow文件，打开所有权限，修改后的内容如下：#.ixdba:sdc1 36#.ixdba:sdc2 6ALL ALL接着修改/etc/iet/ietd.conf文件，修改后的内容如下：IncomingUser discovery.auth discoverysecretTarget .ixdba:sdc1IncomingUser login.windows.auth windowssecretLun 0 Path=/dev/sdc1,Type=fileioTarget .ixdba:sdc2IncomingUser login.linux.auth linuxsecretLun 0 Path=/dev/sdc2,Type=fileio其中，第一个“IncomingUser”是个全局参数，用来指定Discovery查询认证所使用的账号和密码，必须与initiator主机中设定的用户名密码一致。第二个和第三个“IncomingUser”选项包含在对应的Target中，用来指定windows和Linux客户端主机登录Target/iqn/Lun时所使用的账号密码。也必须与initiator主机中设定的用户名密码一致。所有配置完毕以后，重启iscsitarget服务。2配置Linux Initiator主机修改/etc/iscsi/iscsid.conf文件，添加如下选项：#以下三个是针对login的node.session.auth.authmethod = CHAP #表示在login时启用CHAP验证。node.session.auth.username = login.linux.auth #验证用户名称，可以是任意字符，但必须与target端IncomingUse配置的名字一致。node.session.auth.password = linuxsecret #验证密码，必须与target端对应的IncomingUse选项设置的密码一致。#以下三个是针对discovery的discovery.sendtargets.auth.authmethod = CHAP #表示discovery时启用CHAP验证。discovery.sendtargets.auth.username = discovery.auth #验证用户名称，可以是任意字符，但必须与target端IncomingUse配置的名称一致。discovery.sendtargets.auth.password = discoverysecret#验证密码，必须与target端对应的IncomingUse选项设置的密码一致。配置完毕，重启initiator，重新执行Discovery查询，操作如下：root Initiator iscsi #/etc/init.d/iscsi restartroot Initiator iscsi # iscsiadm -m discovery -t sendtargets -p 4646:3260,1 .ixdba:sdc146:3260,1 .ixdba:sdc2从查询结果可知，initiator查询到了两个Target，最后执行fdisk操作：root Initiator iscsi # fdisk -lDisk /dev/sda: 320.0 GB, 320072933376 bytes255 heads, 63 sectors/track, 38913 cylindersUnits = cylinders of 16065 * 512 = 8225280 bytes Device Boot Start End Blocks Id System/dev/sda1 * 1 13 104391 83 Linux/dev/sda2 14 38913 312464250 8e Linux LVMDisk /dev/sdb: 5724 MB, 5724794880 bytes177 heads, 62 sectors/track, 1018 cylindersUnits = cylinders of 10974 * 512 = 5618688 bytes Device Boot Start End Blocks Id System/dev/sdb1 1 1018 5585735 83 Linux从fdisk的输出结果可知，Linux initiator已经成功连接了ISCSI共享磁盘，而“/dev/sdb: 5724 MB”就是识别的硬盘标识和大小。3配置windows Initiator主机配置windows Initiator主机的方法在前面章节已经有过介绍，这里仅仅讲述不同的地方，首先打开Microsoft iSCSI Initiator，选择第二个分页标签“Discovery”，然后在“Target Portals”部分点击“Add”按钮，跳出“Add Target Portal”窗口，在此窗口中填写iSCSI Target的IP地址和端口，填写完毕，点击“Advanced”按钮，如图1所示：图1在此界面下，选中“CHAP logon information”标签，然后填写Discovery查询认证所使用的账号和密码。填写完毕点击“确定”按钮。接着选择第三个分页标签“Targets”，此时Initiator已经从iSCSI Target端查询到了两个Target，选中第一个名为“Target .ixdba:sdc1 ”的target，点击“Log On”按钮，然后在弹出的“Log On to Target”窗口中点击“Advanced”按钮，如图2所示：图2在此界面下，选中“CHAP logon informat