• 欢迎访问小贝笔记网站,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入小贝笔记 QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏小贝笔记吧

基于targetcli的ISCSI服务器搭建——使用Initiator端iqn白名单认证

CentOS 小贝 1年前 (2023-09-26) 3018次浏览

1 前言

在上一篇【基于targetcli的ISCSI服务器搭建】文档中,采用开启demo 模式和允许demo模式写操作,来实现允许任意Initiator端建立链接。这样虽然配置简单,但是安全上没有办法保证。此时我们可以采用Initiator端的iqn配置白名单认证。

2 实验环境

2-1实验需求

2-2实验环境

3 实验过程

3-1 退出Demo模式开启Demo模式写保护

新部署的targetcli是关闭Demo模式的,不用操作此步骤。因为沿用上次实验环境,所以要退出Demo模式。

1、切换目录

/> cd iscsi/iqn.2003-01.org.linux-iscsi.iscsi-svr.x8664:sn.9d2d7bec358d/tpg1/
/iscsi/iqn.20...7bec358d/tpg1>

2、退出Demo模式

/iscsi/iqn.20...7bec358d/tpg1> set attribute generate_node_acls=0
Parameter generate_node_acls is now '0'.

3、开启Demo模式写保护

/iscsi/iqn.20...7bec358d/tpg1> set attribute demo_mode_write_protect=1
Parameter demo_mode_write_protect is now '1'.

4、查看iSCSI发起程序连接状态,此时的状态为“不活动”

5、尝试点击“连接”按钮显示授权失败。因为该initiator端的iqn不存在target白名单列表,此时target白名单列表为空,所以会提示“授权失败”,磁盘管理器中也不会出现新的磁盘。

3-2 获取Initiator端iqn

不同操作系统iSCSI的发起程序获取iqn的方法不同,此示例仅展示Windows 系统ISCSI发起程序iqn获取方法。

1、打开iSCSI发起程序

2、切换到“配置”选项卡,页面中“发起程序名称”就是iqn地址。也可以在target端按照固定格式指定好特定的iqn,然后再initiator端修改成一致。

 

3-3配置ISCSI tpg initiator iqn白名单

1、切换到acls目录

/> cd iscsi/iqn.2003-01.org.linux-iscsi.iscsi-svr.x8664:sn.9d2d7bec358d/tpg1/acls 
/iscsi/iqn.20...58d/tpg1/acls> 

2、创建基于initiator iqn白名单,把3-2获取到的iqn加入即可

/iscsi/iqn.20...58d/tpg1/acls> create iqn.1991-05.com.microsoft:tg11 
Created Node ACL for iqn.1991-05.com.microsoft:tg11
Created mapped LUN 0.
Created mapped LUN 1.

4 测试

4-1.再次点击“连接”按钮可以发现可以正常连接,同时磁盘管理器中也出现新的硬盘

4-2.模拟非白名单设备连接

1、先手动端口iSCSI连接

2、切换到“配置”选项卡,修改“发起程序名称”模拟另一台设备接入

3、重新点击“连接”按钮显示”授权失败”

4-3测试结果

通过上述测试,加入target端白名单的initiator iqn 设备,可以有权挂载磁盘,非授权的initiator iqn设备无权挂载磁盘。和预期一致。

 

 

注:此实验为个人理解,仅做个人记录。实验中涉及到的专业名词叫法或整体实验操作,可能存在误差或错误。如和官网不一致请以官网为准。


小贝笔记 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:基于targetcli的ISCSI服务器搭建——使用Initiator端iqn白名单认证
喜欢 (0)