Reference Guide
enregistré. Un fournisseur VASA génère des ID uniques pour les objets d’entité de stockage et vCenter Server utilise ces ID pour
demander des données concernant une entité spécifique.
Un fournisseur VASA utilise les certificats SSL et l’ID de session VASA pour valider les sessions VASA. Une fois la session établie, un
fournisseur VASA doit valider à la fois le certificat SSL et l’ID de session VASA associés à chaque appel de fonction émis à partir de
vCenter Server. Le fournisseur VASA utilise le certificat VMCA stocké dans son magasin d’approbations pour valider le certificat associé
aux appels de fonctions en provenance du service vCenter SMS. Une session VASA est conservée sur plusieurs connexions SSL. Si une
connexion SSL est supprimée, vCenter Server établit une liaison SSL avec le fournisseur VASA pour restaurer la connexion SSL dans le
contexte de la même session VASA. Si un certificat SSL expire, l'administrateur vSphere doit générer un nouveau certificat.
vCenter Server établit une nouvelle connexion SSL et enregistre le nouveau certificat auprès du fournisseur VASA.
PRÉCAUTION : SMS n’appelle pas la fonction unregisterVASACertificate pour un fournisseur VASA 3.0. Par
conséquent, même après l’annulation de l’enregistrement, le fournisseur VASA peut continuer à utiliser le certificat
signé VMCA obtenu auprès du service SMS.
authentification CHAP
Le protocole CHAP (Challenge Handshake Authentication Protocol) est une méthode d’authentification des initiateurs iSCSI (hôtes) et
des cibles (volumes et snapshots). CHAP expose le stockage iSCSI et garantit un protocole de stockage à la fois standard et sécurisé.
L’authentification dépend d’un code secret, semblable à un mot de passe, qui est connu de l’authentificateur et de l’homologue. Il existe
deux variantes du protocole CHAP :
● L’authentification CHAP unique permet à la cible iSCSI d’authentifier l’initiateur. Lorsqu’un initiateur tente de se connecter à une cible
(mode normal ou de découverte), il fournit un nom d’utilisateur et un mot de passe à cette dernière.
● L’authentification CHAP mutuelle est appliquée en plus de l’authentification CHAP unique. L’authentification CHAP mutuelle permet à
la cible iSCSI et à l’initiateur de s’authentifier l’un à l’autre. Chaque cible iSCSI présentée par le groupe est authentifiée par l’initiateur
iSCSI. Lorsqu’un initiateur tente de se connecter à une cible, celle-ci fournit un nom d’utilisateur et un mot de passe à l’initiateur.
L’initiateur compare le nom d’utilisateur et le mot de passe fournis aux informations qu’il contient. S’ils correspondent, l’initiateur peut
se connecter à la cible.
REMARQUE :
Si le protocole CHAP doit être utilisé dans votre environnement, il est recommandé de configurer et d’activer
l’authentification CHAP avant de préparer les volumes à la réception des données. Si vous préparez des disques pour la réception des
données avant de configurer et d’activer l’authentification CHAP, vous risquez de perdre l’accès aux volumes.
PowerStore ne prend pas en charge le mode de découverte CHAP iSCSI. Le tableau ci-dessous présente les limites imposées par
PowerStore concernant le mode de découverte CHAP iSCSI.
Tableau 1. Limites relatives au mode de découverte CHAP iSCSI
Mode CHAP Mode simple (initiateur activé) Mode mutuel (initiateur et cible
activés)
Découverte PowerStore n’authentifie (ne défie) pas
l’hôte. L’authentification ne peut pas être
utilisée pour empêcher la découverte des
cibles. Cela n’entraîne pas d’accès
involontaire aux données utilisateur.
PowerStore ne répond pas à la demande
d’authentification (chaîne de défi) d’un
hôte. La découverte échoue si l’hôte défie
PowerStore.
Normal Fonctionne comme prévu. Les informations
d’identification sont testées par
PowerStore.
Fonctionne comme prévu. Les informations
d’identification sont transférées par
PowerStore.
Pour la réplication à distance entre une appliance source et une appliance cible, le processus de vérification et de mise à jour détecte les
modifications apportées aux systèmes locaux et distants et rétablit les connexions de données, tout en prenant en compte les paramètres
CHAP.
Configuration du protocole CHAP
L’authentification CHAP unique (initiateur activé) ou mutuelle (initiateur et cible) peut être activée sur un cluster PowerStore. CHAP peut
être activé pour la mise en œuvre d’un cluster comportant une appliance ou plusieurs appliances et hôtes externes PowerStore.
Lorsque l’authentification unique est activée, vous devez saisir le nom d’utilisateur et le mot de passe de chaque initiateur lors de l’ajout
d’hôtes externes. Lorsque l’authentification mutuelle est activée, vous devez également saisir le nom d’utilisateur et le mot de passe du
cluster. Lors de l’ajout d’un hôte et de l’ajout d’initiateurs pour lesquels CHAP est activé, le mot de passe de l’initiateur doit être unique.
16
Authentification et accès