Reference Guide
CHAP 인증
CHAP(Challenge Handshake Authentication Protocol)는 iSCSI 이니시에이터(호스트) 및 타겟(볼륨 및 스냅샷)을 인증하는 방법입니다.
CHAP는 iSCSI 스토리지를 노출하고 동시에 안전한 표준 스토리지 프로토콜을 보장합니다. 인증은 인증자와 피어 모두에게 알려진
비밀 정보(암호와 유사)를 이용합니다. CHAP 프로토콜은 다음과 같은 두 가지 변형이 있습니다.
● 단일 CHAP 인증을 사용하면 iSCSI 타겟이 이니시에이터를 인증할 수 있습니다. 이니시에이터는 타겟에 연결을 시도할 때(일반 모
드 또는 검색 모드) 사용자 이름과 암호를 타겟에 제공합니다.
● 단일 CHAP 외에 상호 CHAP 인증도 적용됩니다. 상호 CHAP를 사용하면 iSCSI 타겟과 이니시에이터가 서로 인증할 수 있습니다.
그룹에서 제공하는 각 iSCSI 타겟은 iSCSI 이니시에이터가 인증합니다. 이니시에이터가 타겟에 연결을 시도할 때 타겟은 사용자
이름과 암호를 이니시에이터에 제공합니다. 이니시에이터는 제공된 사용자 이름과 암호를 저장된 정보와 비교합니다. 정보가 일
치하는 경우 이니시에이터가 대상에 연결할 수 있습니다.
노트: 사용자 환경에서 CHAP가 사용되는 경우에는 데이터를 수신할 볼륨을 준비하기 전에 CHAP 인증을 설정하고 활성화하는
것이 좋습니다. CHAP 인증을 설정하고 활성화하기 전에 데이터 수신을 위해 드라이브를 준비하면 볼륨에 대한 액세스 권한을 상
실할 수 있습니다.
PowerStore에서는 iSCSI CHAP 검색 모드가 지원되지 않습니다. 다음 표에는 iSCSI CHAP 검색 모드와 관련된 PowerStore의 제한 사
항이 나와 있습니다.
표 1. iSCSI CHAP 검색 모드 제한 사항
CHAP 모드 단일 모드(이니시에이터 활성화) 상호 모드(이니시에이터 및 타겟 활성화)
검색 PowerStore은 호스트를 인증(도전)하지
않습니다. 인증을 사용하여 대상의 검색을
배제 시킬 수 없습니다. 이로 인해 사용자
데이터에 의도하지 않은 액세스가 발생 하
는 것은 아닙니다.
PowerStore은 호스트의 인증 요청(도전)
에 응답하지 않으며 호스트가 PowerStore
에 도전하는 경우 검색이 실패합니다.
정상 예상대로 작동합니다. 자격 증명은
PowerStore에 의해 테스트됩니다.
예상대로 작동합니다. 자격 증명은
PowerStore에 의해 전송됩니다.
소스 및 타겟 어플라이언스 간의 원격 복제의 경우, 확인 및 업데이트 프로세스는 로컬 시스템과 원격 시스템의 변경 내용을 감지하고
데이터 연결을 새로 수립하며 CHAP 설정도 고려합니다.
CHAP 구성
PowerStore 클러스터에서 CHAP 단일 인증(이니시에이터 활성화) 또는 상호 인증(이니시에이터 및 타겟)을 활성화할 수 있습니다.
CHAP는 하나의 어플라이언스 또는 여러 PowerStore 어플라이언스와 외부 호스트의 클러스터 구현에 사용할 수 있습니다.
단일 인증을 사용하는 경우에는 외부 호스트를 추가할 때 각 이니시에이터에 대한 사용자 이름과 암호를 입력해야 합니다. 상호 인증
을 사용하는 경우에는 클러스터에 대한 사용자 이름 및 암호도 입력해야 합니다. 호스트를 추가하고 CHAP가 활성화된 이니시에이터
를 추가하는 경우 이니시에이터 암호는 고유해야 하며 호스트의 이니시에이터 간에 동일한 암호를 사용할 수 없습니다. 외부 호스트
의 CHAP 구성을 구성하는 방법에 대한 자세한 내용은 상황에 따라 다릅니다. 이 기능을 활용하려면 호스트의 운영 체제와 호스트를
구성하는 방법을 숙지해야 합니다.
노트: 시스템에서 호스트가 구성된 후에 CHAP를 활성화하는 것은 외부 호스트에 대해 운영 중단적인 동작으로 작용합니다. 이
경우 외부 호스트와 어플라이언스 모두에 대한 구성이 설정될 때까지 I/O가 중단됩니다. 구현하고 싶은 CHAP 구성이 있는 경우
어플라이언스에 외부 호스트를 추가하기 전에 그 유형을 결정하는 것이 좋습니다.
호스트가 추가된 후에 CHAP를 활성화하는 경우 각 호스트의 이니시에이터를 업데이트합니다. CHAP가 활성화되면 CHAP 자격 증명
이 없는 호스트 그룹에 호스트를 추가할 수 없습니다. CHAP가 활성화되어 있고 나중에 호스트를 추가하는 경우 PowerStore Manager
에서 Compute 아래 Hosts & Host Groups를 선택해 수동으로 호스트를 등록합니다. 인증을 사용하려면 iSCSI 수준에서 자격 증명
을 입력해야 합니다. 이 경우 호스트에서 IQN을 복사한 다음 각 이니시에이터에 대한 관련 CHAP 자격 증명을 추가합니다.
다음 중 하나를 통해 클러스터에 대한 CHAP를 구성할 수 있습니다.
● Chap - PowerStore Manager (Settings 클릭 후 Security에서 CHAP 선택)에서 액세스할 수 있는 CHAP 설정 페이지.
● REST API 서버 - CHAP 설정을 구성하라는 REST API 요청을 수신할 수 있는 애플리케이션 인터페이스. REST API에 대한 자세한
정보는 PowerStore REST API Reference Guide 내용을 참조 바랍니다.
PowerStore Manager에서 CHAP의 상태를 확인하려면 Settings를 클릭하고 Security에서 CHAP를 선택합니다.
인증 및 액세스 15