PowerScale: OneFS: Jak povolit nebo zakázat protokol SMB1 v clusteru

Z bezpečnostních důvodů společnost Dell Technologies nedoporučuje povolovat dialekt protokolu SMBv1 v systému OneFS. Pokud chcete zajistit dlouhodobou kompatibilitu, zvažte přechod z tohoto protokolu.

Poznámka: Protokol SMBv1 již není společností Microsoft podporován. Společnost Microsoft doporučuje, aby pracovní postupy, které používají dialekt SMBv1, byly migrovány tak, aby používaly protokol SMBv2 nebo novější. Novější podporované verze dialektu SMB jsou navrženy pro lepší zabezpečení a výkon. Podívejte se na tento odkaz, kde najdete další informace o tom, proč byste měli v pracovních postupech upustit od dialektu SMBv1. Nedoporučuje se používat protokol SMBv1 v situacích, kdy jsou k dispozici vyšší verze dialektu.

Chcete-li ověřit, zda je povolena nebo zakázána podpora protokolu SMB1, navažte připojení SSH k uzlu a spusťte následující příkaz:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Pokud je hlášená hodnota nula, je zakázána. Pokud je hlášená hodnota jedna, je povolena.
 

Zakázání podpory protokolu SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

Povolení podpory protokolu SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Aby bylo možné implementovat změny pro podporu protokolu SMBv1, je nutné provést aktualizaci (nebo restartování) služby SRV v clusteru.

Zakázáním podpory protokolu SMB1 zabráníte navázání nových připojení SMB1. Stávající připojení SMB1 se neodpojí ani po zakázání této funkce.

Varování:
Restartování služby SRV v uzlu může způsobit odpojení všech připojení SMB k uzlu. Pokud připojení klientů SMB nepřevezmou při selhání do jiného uzlu, musí klienti znovu navázat připojení ke clusteru. Pokud dojde k restartování LWIO, ukončí se všechna připojení SMB a je nutné znovu navázat připojení klienta.

Vynucenou aktualizaci SRV lze provést na jednom uzlu připojením přes SSH a následujícím způsobem:

/usr/likewise/bin/lwsm refresh srv

Ve vzácných případech je nutné restartovat službu SRV. Postupujte následovně:

/usr/likewise/bin/lwsm restart srv

Správci mohou před příkazy použít příkaz "isi_for_array -sX" k obnovení nebo restartování SRV v clusteru. Ujistěte se, že vnořený příkaz je obsažen v uvozovkách. Obnovení služby SRV nemá vliv, ale restartování může ano. Naplánujte tyto akce v časovém intervalu údržby, abyste zmírnili narušení klientů. Pokud správci zaznamenají při těchto akcích nějaké problémy, doporučujeme obrátit se na podporu a požádat o další pomoc.

Od verze OneFS 9.6 je protokol SMBv1 ve výchozím nastavení zakázán. Společnost Microsoft ukončila podporu tohoto protokolu a existuje mnoho bezpečnostních problémů, které byly vyřešeny v novějších dialektech. Cluster, který používá protokol SMBv1, v důsledku toho zaznamená přerušení pracovního postupu po upgradu. Správci se tomu mohou vyhnout ručním povolením protokolu SMBv1 místo toho, aby se striktně spoléhali na starší výchozí konfiguraci. Nastavení protokolu SMBv1 na hodnotu Enabled označí nastavení jako "Not inherited from defaults", což zajistí, že po upgradu nedojde k žádným změnám této části konfigurace.

Chcete-li zajistit, aby byla hodnota v systému OneFS 9.5 a starších povolena ručně, postupujte podle předchozích kroků a povolte protokol SMBv1 ručně prostřednictvím nástroje gconfig. Správci by to měli provést v časovém intervalu údržby, aby minimalizovali narušení klientů SMBv1. Příkaz k povolení protokolu SMBv1 s gconfig v systému OneFS 9.5 a starším je uveden níže:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Nezapomeňte ověřit, že hodnota hlásí hodnotu 1 zpět. Správci mohou zakázat a povolit podporu protokolu SMBv1 a potvrdit, že se změny hodnot projeví. Pokud existují plány na použití protokolu SMBv1 před upgradem po jeho povolení, je na všech uzlech vyžadována aktualizace nebo restartování SRV. To má vliv na klienty používající protokol SMB bez ohledu na to, který dialekt se používá.

Pokud správci zapomenou před upgradem explicitně povolit protokol SMBv1 v konfiguraci clusteru, upgrade zajistí, aby byl nastaven na hodnotu zakázáno. Po upgradu znovu povolte podporu protokolu SMBv1 pomocí níže uvedeného příkazu.

isi smb settings global modify --support-smb1=true

Aby se změny projevily, může být nutné vynucené obnovení nebo restartování služeb. Aby se minimalizoval dopad, doporučujeme provést všechny významné změny konfigurace clusteru během časového období údržby. Správci by měli začít plánovat úplné vyřazení SMBv1 ve svém prostředí, pokud tak ještě neučinili.