PowerScale : OneFS : Activation ou désactivation de SMB1 sur un cluster

Pour des raisons de sécurité, Dell Technologies ne recommande pas d’activer le dialecte du protocole SMBv1 dans OneFS. Pour assurer une compatibilité à long terme, envisagez de vous éloigner progressivement de ce protocole.

Remarque : SMBv1 n’est plus pris en charge par Microsoft. Microsoft recommande que les workflows qui utilisent le dialecte SMBv1 soient migrés pour utiliser SMBv2 ou une version ultérieure. Les versions plus récentes prises en charge du dialecte SMB sont conçues pour améliorer la sécurité et les performances. Consultez ce lien pour plus d’informations sur les raisons pour lesquelles vous devriez vous éloigner du dialecte SMBv1 dans les flux de travail. Il n’est pas recommandé d’utiliser SMBv1 dans les situations où des versions supérieures du dialecte sont disponibles.

Pour vérifier si la prise en charge du protocole SMB1 est activée ou désactivée, établissez une connexion SSH à un nœud, puis exécutez la commande suivante :

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Si la valeur signalée est égale à zéro, elle est désactivée. Si la valeur signalée est égale à un, elle est activée.
 

Pour désactiver la prise en charge de SMBv1 :

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

Pour activer la prise en charge de SMBv1 :

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Une actualisation (ou un redémarrage) du service SRV sur le cluster est nécessaire pour implémenter des modifications pour la prise en charge de SMBv1.

La désactivation de la prise en charge du protocole SMB1 empêche l’établissement de nouvelles connexions SMB1. Les connexions SMB1 existantes ne sont pas déconnectées, même après la désactivation de la fonctionnalité.

Avertissement:
Le redémarrage du service SRV sur un nœud peut entraîner la déconnexion de toutes les connexions SMB au nœud. Si les connexions client SMB ne basculent pas vers un autre nœud, les clients doivent rétablir une connexion au cluster. Si LWIO est redémarré, toutes les connexions SMB sont suspendues et le client doit rétablir les connexions.

Une actualisation forcée de SRV peut être effectuée sur un seul nœud en se connectant via SSH et en procédant comme suit :

/usr/likewise/bin/lwsm refresh srv

Dans de rares cas, un redémarrage du service SRV est nécessaire. Procédez comme suit :

/usr/likewise/bin/lwsm restart srv

Les administrateurs peuvent utiliser « isi_for_array -sX » devant les commandes pour actualiser ou redémarrer SRV sur l’ensemble du cluster. Assurez-vous que la commande imbriquée est contenue entre guillemets. Bien que l’actualisation de SRV n’ait pas d’impact, son redémarrage peut l’être. Planifiez ces actions dans une fenêtre de maintenance afin d’atténuer les interruptions pour les clients. Si les administrateurs constatent des problèmes avec ces actions, il est recommandé de contacter le support pour obtenir de l’aide.

À partir de OneFS 9.6, le protocole SMBv1 est désactivé par défaut. Microsoft a mis fin à la prise en charge du protocole et il existe de nombreux problèmes de sécurité qui ont été résolus dans des dialectes plus récents. Un cluster utilisant SMBv1 voit son workflow être interrompu après la mise à niveau. Les administrateurs peuvent éviter cela en activant manuellement SMBv1 au lieu de s’appuyer strictement sur l’ancienne configuration par défaut. Si vous définissez SMBv1 sur activé, le paramètre n’est pas hérité des valeurs par défaut, ce qui garantit qu’aucune modification n’est apportée à cette partie de la configuration après la mise à niveau.

Pour vous assurer que la valeur est activée manuellement dans OneFS 9.5 et les versions antérieures, suivez les étapes précédentes pour activer SMBv1 manuellement via gconfig. Les administrateurs doivent effectuer cette opération dans une fenêtre de maintenance afin de minimiser les interruptions pour les clients SMBv1. La commande permettant d’activer SMBv1 avec gconfig dans OneFS 9.5 et versions antérieures est la suivante :

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

N’oubliez pas de vérifier que la valeur correspond à la valeur 1. Les administrateurs peuvent désactiver, puis activer la prise en charge de SMBv1 pour confirmer que les modifications de valeur prennent effet. S’il est prévu d’utiliser SMBv1 avant la mise à niveau une fois activée, une actualisation ou un redémarrage de SRV est requis sur tous les nœuds. Cela a un impact sur les clients qui utilisent le protocole SMB, quel que soit le dialecte utilisé.

Si les administrateurs oublient d’activer explicitement SMBv1 sur la configuration de cluster avant la mise à niveau, la mise à niveau garantit qu’il est défini sur désactivé. Utilisez la commande ci-dessous après la mise à niveau pour réactiver la prise en charge de SMBv1.

isi smb settings global modify --support-smb1=true

Cela peut nécessiter une actualisation/un redémarrage forcé des services pour que ces modifications prennent effet. Nous vous recommandons d’apporter toute modification significative de la configuration du cluster au cours d’une fenêtre de maintenance afin de minimiser l’impact. Les administrateurs doivent commencer à planifier l’obsolescence complète de SMBv1 dans leur environnement s’ils ne l’ont pas déjà fait.