前言 上一篇博客中我们讲了如何搭建一个简单的iscsi网络存储系统,这块有个安全问题就是,任何知道target name的客户端都可以随意连接ISCSI服务器。但是很多时候,通过授权认证连接共享磁盘或者分区是必须的,例如 只允许客户端主机A连接target共享出来的磁盘分区1,而客户端主机b只运行连接target分享的磁盘分区2,在这种情况下,就需要在ISCSI target主机上进行授权设定了。 ISCSI在授权访问和安全管理方面很有优势,它能够以主机为基础,也就是以IP地址为基础来设定允许或者拒绝,也可以通过账户名密码认证来设定允许或者拒绝存取。 下面通过一套实验环境来配置看看情况 | 客户端/服务端 | IP | 共享的磁盘 | | :----- | ---:| :---: | | 服务器端 | 172.16.22.142 | /dev/sdb下的两个分区 | | 客户端 | 172.16.160.191 | /dev/sdb1 | | 客户端 | 172.16.160.192 | /dev/sdb2 | - 通过ip来限定客户端连接不同的磁盘或者分区
- 通过用户名密码连接不同的磁盘或分区
通过ip来限定首先更改配置文件,我在服务器端(172.16.22.142)配置文件如下: [root@salt etc]# tail /etc/tgt/targets.conf #.2016.11.09.com.server:test.target1> backing-store /dev/sdb5 initiator-address 172.16.160.191 # 这个参数就是限定了哪个ip能够过来访问,详情可以看配置文件的样例.2016.11.09.com.server:test.target2> backing-store /dev/sdb5 initiator-address 172.16.160.192
改为重启服务 [root@salt etc]# /etc/init.d/tgtd restartStopping SCSI target daemon: initiators still connected [FAILED]Starting SCSI target daemon: [ OK ]
此时在客户端 172.16.160.191 查看: [root@localhost ~]# iscsiadm -m discovery -t sendtargets -p 172.16.22.142172.16.22.142:3260,1 iqn.2016-11.com.ljf:server.target1 # 共享的,所有人可以查看,未作限定172.16.22.142:3260,1 iqn.2016.11.09.com.server:test.target1 # 191只能查看target1这块盘
在另一个客户端 172.16.160.192 查看: [root@linux-node1 ~]# iscsiadm -m discovery -t sendtargets -p 172.16.22.142172.16.22.142:3260,1 iqn.2016-11.com.ljf:server.target1 # 共享的,所有人可以查看,未作限定172.16.22.142:3260,1 iqn.2016.11.09.com.server:test.target2 # 192只能查看target2这块盘
自此,通过ip来限定客户端连接不同的磁盘或者分区。 通过用户名密码iscsi target以账户名密码方式认证分为两阶段 第一阶段是discovery查询认证所使用的账户和密码(即sendTarget用的) 第二阶段是登陆target /iqn 所使用的账户密码(即login登陆时使用的) 这种方式复杂点,需要在Initiator主机和iscsi target服务器上进行简单配置。 配置ISCSI target我们在172.16.22.142上配置tgtd,配置文件内容如下: [root@salt ~]# tail /etc/tgt/targets.conf .2016.11.com.server:test.target_191haha> backing-store /dev/sdb2 incominguser user191 user191 # 第一个user191是用户名,第二个user191是密码.2016.11.com.server:test.target192> backing-store /dev/sdb1 incominguser user192 user192
配置完成后重启服务: [root@salt ~]# service tgtd restart
然后我们在iscsi Initiator 172.16.160.191上配置用户名和密码,命令如下: [root@localhost ~]# grep ^[a-Z] /etc/iscsi/iscsid.conf # 增加下面6行node.session.auth.authmethod = CHAPnode.session.auth.username = user191 # 登陆连接的时候验证身份node.session.auth.password = user191discovery.sendtargets.auth.authmethod = CHAPdiscovery.sendtargets.auth.username = user191 # discovery 的时候验证身份discovery.sendtargets.auth.password = user191[root@localhost ~]# /etc/init.d/iscsi restart #改完后重启服务[root@localhost ~]# iscsiadm -m discovery -t sendtargets -p 172.16.22.142 iscsiadm: This command will remove the record [iface: default, target: iqn.2016.11.09.com.server:test.target191, portal: 172.16.22.142,3260], but a session is using it. Logout session then rerun command to remove record.172.16.22.142:3260,1 iqn.2016.11.com.server:test.target192172.16.22.142:3260,1 iqn.2016.11.com.server:test.target_191haha[root@localhost ~]# iscsiadm -m node -p 172.16.22.142 -l # 登陆服务器
iscsi Initiator 172.16.160.192同理可得,同样的操作,我就不演示了。 错误总结在这没有成功之前,我这边出现了一个奇怪的情况,就是在iscsi Initiator端死活discovery不了我刚才设定的 通过用户名密码来访问的磁盘,服务端tgtd程序和客户端iscsi重启N回都没有改变这症状,突然我在iscsi服务器端ps -ef |grep tgtd发现了启动了多个程序,导致客户端发现不了。于是,杀死进程重启服务就好使了。 [root@salt ~]# /etc/init.d/tgtd stopStopping SCSI target daemon: [ OK ][root@salt ~]# netstat -lnpt #奇怪的是,明明stop掉了进程,为什么还有tgtd进程呢?Active Internet connections (only servers)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1538/sshd tcp 0 0 0.0.0.0:4505 0.0.0.0:* LISTEN 1704/python2.6 tcp 0 0 0.0.0.0:4506 0.0.0.0:* LISTEN 1833/python2.6 tcp 0 0 0.0.0.0:3260 0.0.0.0:* LISTEN 2953/tgtd tcp 0 0 :::22 :::* LISTEN 1538/sshd tcp 0 0 :::3260 :::* LISTEN 2953/tgtd [root@salt ~]# /etc/init.d/tgtd stopStopping SCSI target daemon: not running [FAILED][root@salt ~]# netstat -lnptActive Internet connections (only servers)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1538/sshd tcp 0 0 0.0.0.0:4505 0.0.0.0:* LISTEN 1704/python2.6 tcp 0 0 0.0.0.0:4506 0.0.0.0:* LISTEN 1833/python2.6 tcp 0 0 0.0.0.0:3260 0.0.0.0:* LISTEN 2953/tgtd tcp 0 0 :::22 :::* LISTEN 1538/sshd tcp 0 0 :::3260 :::* LISTEN 2953/tgtd [root@salt ~]# ps -ef |grep tgt root 2953 1 0 Nov08 ? 00:00:00 tgtdroot 2956 2953 0 Nov08 ? 00:00:00 tgtdroot 5233 2915 0 00:09 pts/0 00:00:00 grep tgt[root@salt ~]# kill 2956 #干掉他们后启动服务器就好了[root@salt ~]# kill 2953[root@salt ~]# kill -9 2953[root@salt ~]# kill -9 2953-bash: kill: (2953) - No such process[root@salt ~]# kill -9 2956-bash: kill: (2956) - No such process[root@salt ~]# kill -9 2956-bash: kill: (2956) - No such process[root@salt ~]# [root@salt ~]# /etc/init.d/tgtd startStarting SCSI target daemon: [ OK ]
有问题请随时与我联系,18500777133@sina.cn
|