iSCSI: Auth-Problem zum Synology-Target

Probleme mit Samba, NFS, FTP und Co.
Antworten
fjalar
Beiträge: 39
Registriert: 29.08.2010 16:49:53
Lizenz eigener Beiträge: GNU General Public License

iSCSI: Auth-Problem zum Synology-Target

Beitrag von fjalar » 28.04.2021 11:58:08

Guten Tag zusammen, ich möchte zwei Synology-Geräte (DSM 6.2.4) als iSCSI-Targets für Debian-VMs einsetzen. Prinzipiell funktioniert es auch, aber die CHAP- Authentifizierung macht Probleme.

Auf den Synologys wurden Targets/LUNs eingerichtet. Bei den Targets gibt es nicht viel einzustellen, ich habe die Vorgaben für Name und IQN übernommen. "CHAP aktivieren" habe ich gewählt, Name und Passwort eingetragen. "Gegenseitiges CHAP" habe ich unausgewählt gelassen. Auf dem Originator sieht die iscsid.conf so aus (Auszug):

Code: Alles auswählen

node.startup = manual
node.leading_login = No
node.session.auth.username = <username>
node.session.auth.password = <password>  <--- 16 Buchstaben
discovery.sendtargets.auth.username = <username>
discovery.sendtargets.auth.password = <password>
Sonst keine weiteren Einstellungen verändert.

Der Connect klappt aber nicht:

Code: Alles auswählen

# iscsiadm -m discovery -t st -p <IP der Synology>
iscsiadm: Login failed to authenticate with target 
iscsiadm: discovery login to <IP der Synology> rejected: initiator failed authorization
iscsiadm: Could not perform SendTargets discovery: iSCSI login failed due to authorization failure
Im iscsi.log der Synology sehe ich

Code: Alles auswählen

2021-04-28T11:48:05+02:00 Office-NAS kernel: iscsi_target_nego.c:949:iscsi_target_do_authentication Security negotiation failed.
Bei abgeschalteter CHAP-Authentifizierung läuft es sofort. Eigentlich sieht diese Authentifizierung wie eine simple Sache aus, und ich sehe im Moment nicht, wo der Fehler liegen könnte? Ich vermute, es wird etwas sein, das zu offensichtlich ist, als daß ich es jetzt noch bemerke.
Hulluna humpasta taas
Minä olen hulluna humpasta taas
Minen toivu koskaan, luotan voimaan votkan
Hulluna humpasta taas

maddeb
Beiträge: 42
Registriert: 12.07.2008 09:46:22
Lizenz eigener Beiträge: MIT Lizenz

Re: iSCSI: Auth-Problem zum Synology-Target

Beitrag von maddeb » 14.08.2021 00:27:45

Vier Monate alt, keine Antwort. TLDR: ich vermute Bugs, und insofern, dass es keine Loesung gibt.

Ich forsche jetzt auch seit ein paar Tagen, mit Initiator und Host beides Buster.
Fuer mich hat es Monate funktioniert, aber nach einem Hardwaretausch musste ich natuerlich neu booten. Nach dem Lesen von RFCs und Teilen des Codes des Initiators habe ich etwas herumexperimentiert und dabei festgestellt, dass 128 mal "x" als Passwort funktioniert -- auf einem Target. Mit Wireshark kann ich auch sehen, dass da wirklich CHAP ablaueft, und erfolgreich. Aber das gleiche Passwort auf einem anderen Target funktioniert wieder nicht, mit der altbekannten Fehlermeldung.
Vielleicht komme ich irgendwann mal dazu, Debugversionen von Client und Server zu bauen, um nachzuvollziehen, wie sie ihre Responses berechnen. Entweder muss es in der Logik einen Unterschied geben, oder die Eingaben muessen irgendwie unterschiedlich sein. Das riecht fuer mich ein wenig nach nicht initialisiertem Speicher, oder komisches Typecasting.

Code: Alles auswählen

// aus usr/auth.c
unsigned int id // in signatur
...
unsigned char id_data[1];
...
id_data[0] = id; // werden hier 3 anliegende bytes ueberschrieben?
Andere Beobachtung: mit Hochkommata im Passwort kann man auf tgt-Seite anscheinend Shellcode injecten.

Eine sinnvolle Information waere, welche alternative Software es dazu gibt? Clientseitig benutze ich open-iscsi (und fjalar anscheinend auch) und serverseitig tgt. Habe gerade istgt entdeckt, gibt es zum client noch eine Alternative?

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: iSCSI: Auth-Problem zum Synology-Target

Beitrag von jmar83 » 04.03.2024 19:11:15

Freundliche Grüsse, Jan

niemand
Beiträge: 339
Registriert: 22.12.2023 16:35:53
Kontaktdaten:

Re: iSCSI: Auth-Problem zum Synology-Target

Beitrag von niemand » 04.03.2024 20:25:35

Glückwunsch, du hast den Thread nach drei Jahren in eine Endlosschleife geschickt.
Ich frage mich: wenn jemand an jeder möglichen Stelle ein mehr oder weniger passendes Zitat einer mehr oder weniger bekannten Person anbringt, wohl, um sich als höchst intellektuell darzustellen – hat es/er/sie dann keine eigene Meinung, oder kann es/sie/er sie nicht selbst formulieren?

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: iSCSI: Auth-Problem zum Synology-Target

Beitrag von jmar83 » 04.03.2024 20:38:33

Einfach nur zum kotzen, dass das Problem nach 3 Jahren noch immer besteht...
Freundliche Grüsse, Jan

niemand
Beiträge: 339
Registriert: 22.12.2023 16:35:53
Kontaktdaten:

Re: iSCSI: Auth-Problem zum Synology-Target

Beitrag von niemand » 04.03.2024 21:04:05

Du weißt ja nicht einmal, ob das Problem des TE noch besteht.

Aber wenn ich TE wäre, würde ich es ziemlich unhöflich finden, wenn irgendso’n User meinen Thread nach drei Jahren hochholt und damit die Benachrichtigung triggert, nur weil er glaubt, sonst nicht genug Aufmerksamkeit zu bekommen. Anders hätte es natürlich ausgesehen, wenn du ’ne Lösung präsentiert hättest, aber so? Musste das wirklich sein?
Ich frage mich: wenn jemand an jeder möglichen Stelle ein mehr oder weniger passendes Zitat einer mehr oder weniger bekannten Person anbringt, wohl, um sich als höchst intellektuell darzustellen – hat es/er/sie dann keine eigene Meinung, oder kann es/sie/er sie nicht selbst formulieren?

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: iSCSI: Auth-Problem zum Synology-Target

Beitrag von jmar83 » 04.03.2024 22:36:04

vllt. hat er ja inzwischen ne Lösung gefunden, deshalb!
Freundliche Grüsse, Jan

niemand
Beiträge: 339
Registriert: 22.12.2023 16:35:53
Kontaktdaten:

Re: iSCSI: Auth-Problem zum Synology-Target

Beitrag von niemand » 04.03.2024 22:58:11

Du bist moralisch sehr flexibel, kann das sein?

[scnr – bin nun auch hier raus. Aber wenn sich jemand die Dinge auf diese Weise so hindreht, wie sie grad am besten passen – ohne Rücksicht darauf, dass der Beitrag dem letzten eigenen Beitrag widerspricht, dann muss ich’s einfach irgendwie kommentieren)
Ich frage mich: wenn jemand an jeder möglichen Stelle ein mehr oder weniger passendes Zitat einer mehr oder weniger bekannten Person anbringt, wohl, um sich als höchst intellektuell darzustellen – hat es/er/sie dann keine eigene Meinung, oder kann es/sie/er sie nicht selbst formulieren?

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: iSCSI: Auth-Problem zum Synology-Target

Beitrag von jmar83 » 05.03.2024 00:08:36

Ist dir langweilig?
Freundliche Grüsse, Jan

niemand
Beiträge: 339
Registriert: 22.12.2023 16:35:53
Kontaktdaten:

Re: iSCSI: Auth-Problem zum Synology-Target

Beitrag von niemand » 05.03.2024 21:24:25

Nein. Mich kotzt es halt nur an, wenn Leute sich für den Nabel der Welt halten, und ohne Rücksicht auf Andere auf sich und ihr Anliegen aufmerksam machen müssen. Etwas gegenseitige Rücksicht und etwas Anstand, und diese Welt wäre ein besserer Ort. Aber das verstehst du wahrscheinlich nicht.
Ich frage mich: wenn jemand an jeder möglichen Stelle ein mehr oder weniger passendes Zitat einer mehr oder weniger bekannten Person anbringt, wohl, um sich als höchst intellektuell darzustellen – hat es/er/sie dann keine eigene Meinung, oder kann es/sie/er sie nicht selbst formulieren?

Antworten