Reference Guide

启用单向身份验证时，在添加外部主机时需要输入每个启动器的用户名和密码。启用双向身份验证时，还需要输入群集的用户名和

密码。当添加主机并添加启用 CHAP 的启动器时，启动器密码必须是唯一的，您不能在主机的各个启动器中使用相同的密码。有关

如何配置外部主机的 CHAP 配置的具体详细信息将因情况而异。要利用此功能，您需要熟悉主机的操作系统以及如何配置它。

注: 一旦在系统上配置了主机之后，启用 CHAP 对于外部主机将是一种会造成中断的操作。它会导致 I/O 中断，直到在外部主机

和设备上的配置均设置好。建议您在将外部主机添加到设备之前，确定要实施的 CHAP 配置的类型（如果有）。

如果在添加主机后启用 CHAP，则更新每个主机的启动器。如果主机启用了 CHAP，则不能将它添加到没有 CHAP 凭据的主机组。如

果是在启用 CHAP 之后添加一个主机，则需要在 PowerStore Manager 中手动注册该主机，方法是在 Compute 之下选择 Hosts &

Host Groups。您需要在 iSCSI 级别输入凭据，以供身份验证之用。在这种情况下，请从主机拷贝 IQN，然后为每个启动器添加相关

CHAP 凭据。

可以通过以下任一方式为群集配置 CHAP：

● CHAP — 一个您可以从 PowerStore Manager 访问的 CHAP 页面（单击 Settings，在 Security 下选择 CHAP）。

● REST API 服务器 — 可以接收配置 CHAP 设置的 REST API 请求的应用程序接口。有关 REST API 的更多信息，请参阅

PowerStore REST API Reference Guide。

要确定 CHAP 的状态，请在 PowerStore Manager 中单击 Settings，并在 Security 之下选择 CHAP。

外部 SSH 访问

每个设备可以选择启用对设备 IP 地址的 SSH 端口的外部安全外壳 (SSH) 访问，这会将用户转到设备主节点上的服务功能。设备 IP

地址将在设备的两个节点之间随着主节点指定的改变而浮动。如果禁用外部 SSH，则不允许授予 SSH 访问权限。

当设备首次启动并且未配置时，SSH 默认处于启用状态，这样如果在将设备添加到群集之前遇到问题，可以对设备进行维护。当创

建新群集或执行群集合并操作时，所有设备都应将 SSH 初始设置为禁用。

配置外部 SSH 访问

您可以通过使用以下任一方式，配置外部 SSH 对群集中设备的访问：

● SSH Management — 一个您可以从 PowerStore Manager 访问的 SSH 设置页面（单击 Settings，在 Security 下选择 SSH

Management）。

● REST API 服务器 — 可以接收 REST API 请求，以配置 SSH 设置的应用程序接口。有关 REST API 的更多信息，请参阅

PowerStore REST API Reference Guide。

● svc_service_config — 一种服务命令，您作为设备上的服务用户可以直接输入。有关此命令的详细信息，请参阅

PowerStore Service Scripts Guide。

要确定群集中设备上 SSH 的状态，请在 PowerStore Manager 中单击 Settings，并在 Security 下选择 SSH Management。您还可

以在所选的一个或多个设备上启用或禁用 SSH。

成功启用 SSH 服务后，使用任何 SSH 客户端登录到设备 IP 地址。访问设备需要服务用户凭据。

通过服务帐户，用户可以执行以下功能：

● 执行专门的设备服务脚本，以便对设备系统设置和运行情况进行监视和故障排除。

● 仅操作一组有限的命令，这些命令在受限 shell 模式下分配给非特权 Linux 用户帐户的成员。此帐户无权访问专有系统文件、配置

文件或者用户或客户数据。

为使设备达到最大安全性，建议一直将外部 SSH 服务接口保持禁用，除非专门需要它在设备上执行服务操作。在执行必要的服务操

作之后，应禁用 SSH 接口以确保设备安全。

SSH 会话

系统会根据 SSH 客户端建立的设置，对 PowerStore SSH 服务界面会话进行维护。会话特征由 SSH 客户端配置设置决定。

服务帐户密码

服务帐户是服务人员可用来执行基本 Linux 命令的帐户。

在设备的初始配置过程中，您必须更改默认服务密码。服务密码限制与应用于系统管理帐户的密码限制相同（请参见用户名和密码

的使用页面上的 7）。

身份验证和访问