本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 iSCSI 目標的 CHAP 身分驗證
<a name="ConfiguringiSCSIClientInitiatorCHAP"></a>

Storage Gateway 使用挑戰交握驗證通訊協定 (CHAP)，在閘道和 iSCSI 啟動器之間進行驗證。CHAP 會定期驗證 iSCSI 啟動器的身分識別，以存取磁碟區和 VTL 裝置目標，提供保護以防止播放攻擊。

**注意**  
CHAP 組態為選用項，但強烈建議選擇。

若要設定 CHAP，您必須同時在 Storage Gateway 主控台以及用來連線至目標的 iSCSI 啟動器軟體中設定它。Storage Gateway 會使用雙向 CHAP，即啟動器驗證目標且目標驗證啟動器時。

**設定目標的雙向 CHAP**

1. 在 Storage Gateway 主控台上設定 CHAP，如 [在 Storage Gateway 主控台上設定磁碟區目標的 CHAP](#ConfiguringiSCSIClientInitiatorCHAPConsole) 中所討論。

1. 在您的用戶端啟動器軟體中，完成 CHAP 組態：
   + 若要在 Windows 用戶端上設定雙向 CHAP，請參閱[在 Windows 用戶端上設定雙向 CHAP](#ConfiguringiSCSIClientInitiatorCHAPWindows)。
   + 若要在 Red Hat Linux 用戶端上設定雙向 CHAP，請參閱[在 Red Hat Linux 用戶端上設定雙向 CHAP](#ConfiguringiSCSIClientInitiatorCHAPLinux)。<a name="ConfiguringiSCSIClientInitiatorCHAPConsole"></a>

**在 Storage Gateway 主控台上設定磁碟區目標的 CHAP**

在此程序中，您指定兩個用於讀取和寫入磁碟區的秘密金鑰。在此程序中，會使用這些相同的金鑰來設定用戶端啟動器。

1. 在 Storage Gateway 主控台的導覽窗格上，選擇**磁碟區**。

1. 針對 **Actions (動作)**，選擇 **Configure CHAP authentication (設定 CHAP 身分驗證)**。

1. 在**設定 CHAP 身分驗證**對話方塊中提供請求的資訊。

   1. 針對**啟動器名稱**，輸入您 iSCSI 啟動器的名稱。此名稱是Amazon iSCSI 合格名稱 (IQN)，前接 `iqn.1997-05.com.amazon:`，后為目標名稱。下列是 範例。

      `iqn.1997-05.com.amazon:your-volume-name`

      您可以使用 iSCSI 啟動器軟體來找到啟動器名稱。例如，針對 Windows 用戶端，名稱就是 iSCSI 啟動器之 **Configuration (組態)** 標籤上的值。如需詳細資訊，請參閱[在 Windows 用戶端上設定雙向 CHAP](#ConfiguringiSCSIClientInitiatorCHAPWindows)。
**注意**  
若要變更啟動器名稱，您必須先停用 CHAP，並在 iSCSI 啟動器軟體中變更啟動器名稱，然後使用新的名稱啟用 CHAP。

   1. 針對**啟動器驗證所用的秘密**，輸入所請求的秘密。

      此秘密的長度必須最少為 12 個字元，最多為 16 個字元。此值是秘密金鑰，而啟動器 (即 Windows 用戶端) 必須知道秘密金鑰才能參與和目標的 CHAP。

   1. 針對**目標驗證所用的秘密 (雙向 CHAP)**，輸入所請求的秘密。

      此秘密的長度必須最少為 12 個字元，最多為 16 個字元。此值是秘密金鑰，而目標必須知道秘密金鑰才能參與和啟動器的 CHAP。
**注意**  
用來驗證目標的秘密必須與驗證啟動器的秘密不同。

   1. 選擇**儲存**。

1. 選擇 **Details (詳細資訊)** 標籤，並確認 **iSCSI CHAP authentication (iSCSI CHAP 身分驗證)** 設定為 **true**。<a name="ConfiguringiSCSIClientInitiatorCHAPWindows"></a>

**在 Windows 用戶端上設定雙向 CHAP**

在此程序中，您使用用來在主控台上設定磁碟區之 CHAP 的相同金鑰，在 Microsoft iSCSI 啟動器中設定 CHAP。

1. 如果尚未啟動 iSCSI 啟動器，請在 Windows 用戶端電腦的**開始**選單上選擇**執行**，並輸入 **iscsicpl.exe**，然後選擇 **確定** 執行程式。

1. 設定啟動器 (即 Windows 用戶端) 的雙向 CHAP 組態：

   1. 選擇 **Configuration** (組態) 索引標籤。

       
**注意**  
**Initiator Name (啟動器名稱)** 值對於啟動器和公司必須是唯一的。前面所顯示的名稱是您在 Storage Gateway 主控台之**設定 CHAP 身分驗證**對話方塊中所使用的值。  
範例影像中所顯示的名稱僅供示範之用。

   1. 選擇 **CHAP**。

   1. 在 **iSCSI 啟動器雙向 CHAP 秘密**對話方塊中，輸入雙向 CHAP 秘密值。

      在此對話方塊中，您輸入啟動器 (Windows 用戶端) 用來驗證目標 (儲存磁碟區) 的秘密。此秘密可讓目標讀取和寫入啟動器。此秘密與**設定 CHAP 身分驗證**對話方塊中的**目標驗證所用的秘密 (雙向 CHAP)** 方塊中所輸入的秘密相同。如需詳細資訊，請參閱[設定 iSCSI 目標的 CHAP 身分驗證](#ConfiguringiSCSIClientInitiatorCHAP)。

   1. 如果您輸入的金鑰長度少於 12 個字元或超過 16 個字元，則會出現**啟動器 CHAP 秘密錯誤**對話方塊。

      選擇**確定**，然後重新輸入金鑰。

1. 使用啟動器的秘密設定目標，以完成雙向 CHAP 組態。

   1. 選擇 **Targets (目標)** 標籤。

   1. 如果目前已連線您要針對 CHAP 設定的目標，則請選取目標，並選擇 **Disconnect (中斷連線)**，以將目標中斷連線。

   1. 選取您要針對 CHAP 設定的目標，然後選擇 **Connect (連線)**。

   1. 在 **Connect to Target (連線至目標)** 對話方塊中，選擇 **Advanced (進階)**。

   1. 在 **Advanced Settings (進階設定)** 對話方塊中，設定 CHAP。

       

      1. 選取**啟動 CHAP 登入**。

      1. 輸入驗證啟動器所需的秘密。此秘密與**設定 CHAP 身分驗證**對話方塊中的**啟動器驗證所用的秘密**方塊所輸入的秘密相同。如需詳細資訊，請參閱[設定 iSCSI 目標的 CHAP 身分驗證](#ConfiguringiSCSIClientInitiatorCHAP)。

      1. 選取 **Perform mutual authentication (執行交互身分驗證)**。

      1. 若要套用變更，請選擇 **OK (確定)**。

   1. 在 **Connect to Target (連線至目標)** 對話方塊中，選擇 **OK (確定)**。

1. 如果您已提供正確的秘密金鑰，則目標會顯示 **Connected (已連線)** 狀態。<a name="ConfiguringiSCSIClientInitiatorCHAPLinux"></a>

**在 Red Hat Linux 用戶端上設定雙向 CHAP**

在此程序中，您使用用來在 Storage Gateway 主控台上設定磁碟區之 CHAP 的相同金鑰，在 Linux iSCSI 啟動器中設定 CHAP。

1. 確定 iSCSI 協助程式正在執行，而且您已經連線至目標。如果您尚未完成這兩項工作，請參閱[連線至 Red Hat Enterprise Linux 用戶端](https://docs.aws.amazon.com/storagegateway/latest/vgw/GettingStarted-use-volumes.html#issci-rhel)。

1. 中斷連線和移除您要設定 CHAP 之目標的任何現有組態。

   1. 若要尋找目標名稱，並確保它是已定義的組態，請使用下列命令列出儲存的組態。

      ```
      sudo /sbin/iscsiadm --mode node
      ```

   1. 與目標中斷連線。

      下列命令會與名為 **myvolume** 且定義於 Amazon iSCSI 合格名稱 (IQN) 中的目標中斷連線。視需要針對您的情況變更目標名稱和 IQN。

      ```
      sudo /sbin/iscsiadm --mode node --logout GATEWAY_IP:3260,1 iqn.1997-05.com.amazon:myvolume
      ```

   1. 移除目標的組態。

      下列命令會移除 **myvolume** 目標的組態。

      ```
      sudo /sbin/iscsiadm --mode node --op delete --targetname iqn.1997-05.com.amazon:myvolume
      ```

1. 編輯 iSCSI 組態檔案以啟用 CHAP。

   1. 取得啟動器的名稱 (即您正在使用的用戶端)。

      下列命令會從 `/etc/iscsi/initiatorname.iscsi` 檔案取得啟動器名稱。

      ```
      sudo cat /etc/iscsi/initiatorname.iscsi
      ```

      此命令的輸出如下所示：

      `InitiatorName=iqn.1994-05.com.redhat:8e89b27b5b8`

   1. 開啟 `/etc/iscsi/iscsid.conf` 檔案。

   1. 取消檔案中下列數行的註解，並指定 *username*、*password*、*username\$1in* 和 *password\$1in* 的正確值。

      ```
      node.session.auth.authmethod = CHAP
      node.session.auth.username = username
      node.session.auth.password = password
      node.session.auth.username_in = username_in
      node.session.auth.password_in = password_in
      ```

      如需所要指定值的指導，請參閱下表。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/storagegateway/latest/vgw/ConfiguringiSCSIClientInitiatorCHAP.html)

   1. 儲存組態檔案中的變更，然後關閉檔案。

1. 搜索和登入目標。若要這麼做，請依照[連線至 Red Hat Enterprise Linux 用戶端](https://docs.aws.amazon.com/storagegateway/latest/vgw/GettingStarted-use-volumes.html#issci-rhel)中的步驟進行。