Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Handbuch</strong> <strong>zur</strong> <strong>Serverkonfiguration</strong> <strong>für</strong> <strong>ESX</strong><br />
iSCSI-SANs ermöglichen die effiziente Verwendung bestehender Ethernet-Infrastrukturen zum Zugriff auf<br />
Speicherressourcen durch <strong>ESX</strong>-Hosts, die diese Ressourcen dynamisch teilen können. Deshalb bieten iSCSI-<br />
SANs eine wirtschaftliche Speicherlösung <strong>für</strong> Umgebungen, die auf einem gemeinsamen Speicherpool <strong>für</strong><br />
verschiedene Benutzer basieren. Wie in allen vernetzten Systemen sind auch iSCSI-SANs anfällig <strong>für</strong> Sicherheitsverletzungen.<br />
HINWEIS Die Anforderungen und Vorgehensweisen <strong>für</strong> die Absicherung von iSCSI-SANs ähneln denen <strong>für</strong><br />
Hardware-iSCSI-Adapter, die Sie <strong>für</strong> <strong>ESX</strong>-Hosts und <strong>für</strong> iSCSI, das direkt über den <strong>ESX</strong>-Host konfiguriert<br />
wird, verwenden.<br />
Absichern von iSCSI-Geräten über Authentifizierung<br />
iSCSI-Geräte können gegen ungewollten Zugriff abgesichert werden, indem der <strong>ESX</strong>-Host, der „Initiator“,<br />
vom iSCSI-Gerät, dem „Ziel“, authentifiziert werden muss, wenn der Host versucht, auf Daten in der Ziel-<br />
LUN zuzugreifen.<br />
Ziel der Authentifizierung ist es zu überprüfen, dass der Initiator das Recht hat, auf ein Ziel zuzugreifen. Dieses<br />
Recht wird bei der Konfiguration der Authentifizierung gewährt.<br />
<strong>ESX</strong> unterstützt <strong>für</strong> iSCSI weder Kerberos noch Secure Remote Protocol (SRP) noch Authentifizierungsverfahren<br />
mit öffentlichen Schlüsseln. Außerdem unterstützt es keine IPsec-Authentifizierung und -Verschlüsselung.<br />
Mit dem vSphere-Client können Sie bestimmen, ob die Authentifizierung derzeit verwendet wird, und das<br />
Authentifizierungsverfahren konfigurieren.<br />
Aktivieren von Challenge-Handshake Authentication Protocol (CHAP) <strong>für</strong> iSCSI-<br />
SANs<br />
Sie können das iSCSI-SAN so konfigurieren, dass die CHAP-Authentifizierung verwendet wird.<br />
Bei der CHAP-Authentifizierung sendet das iSCSI-Ziel, wenn der Initiator mit ihm Kontakt aufnimmt, einen<br />
vordefinierten ID-Wert und einen Zufallswert, den Schlüssel, an den Initiator. Der Initiator erstellt einen unidirektionalen<br />
Prüfsummenwert, den er an das Ziel sendet. Die Prüfsumme enthält drei Elemente: einen vordefinierten<br />
ID-Wert, den Zufallswert, den das Ziel gesendet hat, und einen privaten Wert, den sog. CHAP-<br />
Schlüssel, den sowohl der Initiator als auch das Ziel haben. Wenn das Ziel die Prüfsumme vom Initiator erhält,<br />
erstellt es aus den gleichen Elementen seine eigene Prüfsumme und vergleicht diese mit dem Prüfsummenwert<br />
des Initiators. Wenn die Ergebnisse übereinstimmen, authentifiziert das Ziel den Initiator.<br />
<strong>ESX</strong> unterstützt die unidirektionale und die bidirektionale CHAP-Authentifizierung <strong>für</strong> iSCSI. Bei der unidirektionalen<br />
CHAP-Authentifizierung authentifiziert das Ziel den Initiator, nicht jedoch der Initiator das Ziel.<br />
Bei der bidirektionalen CHAP-Authentifizierung ermöglicht eine zusätzliche Sicherheitsstufe dem Initiator<br />
die Authentifizierung des Ziels.<br />
<strong>ESX</strong> unterstützt die CHAP-Authentifizierung auf Adapterebene, wenn nur ein Satz von Anmeldedaten <strong>für</strong><br />
die Authentifizierung vom Host an alle Ziele gesendet werden kann. Die zielbasierte CHAP-Authentifizierung,<br />
bei der verschiedene Anmeldedaten <strong>für</strong> die Ziele konfiguriert werden können, um eine bessere Zielunterscheidung<br />
vornehmen zu können, wird ebenfalls unterstützt.<br />
Weitere Informationen zum Arbeiten mit CHAP finden Sie unter „Konfigurieren von CHAP-Parametern <strong>für</strong><br />
iSCSI-Adapter“, auf Seite 114.<br />
190 <strong>VMware</strong>, Inc.