エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

NVMe経由のインバンド認証の設定

ONTAP 9.12.1以降では、ONTAPコマンドラインインターフェイス(CLI)を使用して、DH-HMAC-CHAP認証を使用したNVMe/TCPおよびNVMe/FCプロトコル経由のNVMeホストとコントローラー間のインバンド (セキュアー) 、双方向、および単方向認証を設定できます。 ONTAP 9.14.1以降では、インバンド認証をONTAP System Managerで設定できます。

インバンド認証を設定するには、各ホストまたはコントローラーにDH-HMAC-CHAPキーを関連付ける必要があります。DH-HMAC-CHAPキーは、NVMeホストまたはコントローラーのNQNと管理者が設定した認証シークレットを組み合わせたものです。 NVMeホストまたはコントローラーがピアを認証するには、そのピアに関連付けられているキーを認識している必要があります。

単方向認証では、コントローラーではなくホストにシークレットキーを設定します。 双方向認証では、ホストとコントローラーの両方にシークレットキーを設定します。

デフォルトのハッシュ関数はSHA-256で、デフォルトのDHグループは2048ビットです。

ONTAP System Manager

ONTAP 9.14.1以降では、NVMeサブシステムの作成または更新、NVMeネームスペースの作成またはクローニング、新しいNVMeネームスペースを使用した整合グループの追加時に、ONTAP System Managerを使用してインバンド認証を設定できます。

手順
  1. ONTAP System Managerで、[ホスト]>[NVMeサブシステム]をクリックし、[追加]をクリックします。

  2. NVMeサブシステム名を追加し、Storage VMとホストオペレーティングシステムを選択します。

  3. ホストNQNを入力します。

  4. ホストNQNの横にある[Use in-band authentication]を選択します。

  5. ホストシークレットとコントローラーシークレットを指定します。

    DH-HMAC-CHAPキーは、NVMeホストまたはコントローラーのNQNと管理者が設定した認証シークレットを組み合わせたものです。

  6. 各ホストで使用するハッシュ関数とDHグループを選択します。

    ハッシュ関数とDHグループを選択しなかった場合には、それぞれのデフォルト設定(ハッシュ関数はSHA-256、DHグループは2048ビット)が割り当てられます。

  7. 必要に応じて、[追加]をクリックし、ホストを追加する手順を繰り返します。

  8. [保存]をクリックします。

  9. インバンド認証が有効になっていることを確認するには、[ONTAP System Manager] > [ホスト] > [NVMeサブシステム] > [グリッド] > [ピークビュー]をクリックします。

    ホスト名の横にあるキーアイコンが透明な場合、単方向モードが有効であることを示しています。ホスト名の横にあるキーアイコンが不透明な場合、双方向モードが有効であることを示しています。

CLI
手順
  1. NVMeサブシステムにDH-HMAC-CHAP認証を追加します。

    vserver nvme subsystem host add -vserver <svm_name> -subsystem <subsystem> -host-nqn <host_nqn> -dhchap-host-secret <authentication_host_secret> -dhchap-controller-secret <authentication_controller_secret> -dhchap-hash-function <sha-256|sha-512> -dhchap-group <none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit>
  2. DH-HMAC CHAP認証プロトコルがホストに追加されたことを確認します。

    vserver nvme subsystem host show
      [ -dhchap-hash-function {sha-256|sha-512} ]  Authentication Hash Function
      [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ]
                                                   Authentication Diffie-Hellman
                                                   Group
      [ -dhchap-mode {none|unidirectional|bidirectional} ]
                                                   Authentication Mode
  3. NVMeコントローラーの作成時にDH-HMAC CHAP認証が実行されたことを確認します。

    vserver nvme subsystem controller show
     [ -dhchap-hash-function {sha-256|sha-512} ]  Authentication Hash Function
     [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ]
                                                   Authentication Diffie-Hellman
                                                   Group
     [ -dhchap-mode {none|unidirectional|bidirectional} ]
                                                   Authentication Mode
Top of Page