Reference Guide
Se um certificado SSL expirar, o administrador do vSphere deverá gerar um novo certificado. O vCenter Server estabelecerá uma nova
conexão SSL e registrará o novo certificado no VASA Provider.
CUIDADO: O SMS não chama a função unregisterVASACertificate em relação a um VASA Provider 3.0. Portanto,
mesmo após o cancelamento do registro, o VASA Provider pode continuar a usar o certificado VMCA assinado obtido do
SMS.
Autenticação CHAP
O CHAP (Challenge Handshake Authentication Protocol) é um método de autenticação de iniciadores iSCSI (hosts) e destinos (volumes e
snapshots). O CHAP expõe o armazenamento iSCSI e garante um protocolo de armazenamento padrão seguro. A autenticação depende
de um segredo, semelhante a uma senha, que é conhecido pelo autenticador e pelo par. Existem duas variantes do protocolo CHAP:
● A autenticação CHAP única permite que o destino iSCSI autentique o iniciador. Quando um iniciador tenta se conectar a um destino
(modo normal ou pelo modo de detecção), ele fornece um nome de usuário e uma senha ao destino.
● A autenticação CHAP mútua é aplicada além do CHAP único. O CHAP mútuo permite que o destino iSCSI e o iniciador se autentiquem
mutualmente. Cada destino iSCSI apresentado pelo grupo é autenticado pelo iniciador iSCSI. Quando um iniciador tenta se conectar a
um destino, o destino fornece um nome de usuário e uma senha para ele. O iniciador compara o nome de usuário e a senha fornecidos
com as informações contidas nele. Se corresponderem, o iniciador poderá se conectar ao destino.
NOTA: Se o CHAP é usado em seu ambiente, é recomendável configurar e habilitar a autenticação CHAP antes de preparar volumes
para receber dados. Se você preparar unidades para receber dados antes de configurar e ativar a autenticação CHAP, poderá perder
o acesso aos volumes.
O PowerStore não é compatível com o modo de detecção CHAP do iSCSI. A tabela a seguir mostra as limitações do PowerStore
relacionadas ao modo de detecção CHAP do iSCSI.
Tabela 1. Limitações do modo de detecção CHAP do iSCSI
Modo CHAP Modo único (iniciador ativado) Modo mútuo (iniciador e destino
ativados)
Detecção O PowerStore não autenticará (desafiará) o
host. A autenticação não pode ser usada
para impedir a detecção de destinos. Isso
não resulta em acesso indesejado a dados
do usuário.
O PowerStore não responderá a uma
solicitação de autenticação (desafio) de um
host, e a detecção apresentará falha se o
host desafiar o PowerStore.
Normal Funciona conforme esperado. As
credenciais são testadas pelo PowerStore.
Funciona conforme esperado. As
credenciais são transferidas pelo
PowerStore.
Para a replicação remota entre um equipamento de origem e de destino, o processo de verificação e atualização detecta alterações nos
sistemas local e remoto e restabelece as conexões de dados, também levando em conta as configurações de CHAP.
Configurando o CHAP
A autenticação CHAP única (iniciador ativado) ou mútua (iniciador e destino ativados) pode ser habilitada em um cluster do PowerStore. O
CHAP pode ser ativado para uma implementação de cluster de um ou de vários equipamentos PowerStore e hosts externos.
Quando a autenticação única está ativada, o nome de usuário e a senha de cada iniciador devem ser informados ao adicionar hosts
externos. Se a autenticação mútua está ativada, o nome de usuário e a senha do cluster também devem ser inseridos. Ao adicionar um
host e iniciadores com CHAP ativado, a senha do iniciador deve ser exclusiva, e você não pode usar a mesma senha em todos os
iniciadores de um host. Os detalhes específicos sobre como fazer a configuração de CHAP de um host externo variam. Para usar este
recurso, você precisa estar familiarizado com o sistema operacional do host e como configurá-lo.
NOTA:
A ativação do CHAP depois que os hosts forem configurados no sistema é uma ação que causa interrupções nos hosts
externos. Isso causa a interrupção de E/S até que as configurações sejam definidas no host externo e no equipamento. É
recomendável que, antes de adicionar hosts externos ao equipamento, você decida qual tipo de configuração de CHAP será
implementada, se for o caso.
Se você ativar o CHAP depois que os hosts forem adicionados, atualize os iniciadores de cada host. Se o CHAP estiver ativado, você não
poderá adicionar um host a um grupo de hosts que não tenha credenciais de CHAP. Depois que o CHAP for ativado e você adicionar um
16
Autenticação e acesso