PowerScale: OneFS: Come abilitare o disabilitare SMB1 in un cluster

Per via di problemi di sicurezza, Dell Technologies sconsiglia di abilitare il dialetto del protocollo SMBv1 in OneFS. Per garantire la compatibilità a lungo termine, prendere in considerazione la possibilità di abbandonare questo protocollo.

Nota: SMBv1 non è più supportato da Microsoft. Microsoft consiglia di eseguire la migrazione dei flussi di lavoro che utilizzano il dialetto SMBv1 per utilizzare SMBv2 o versioni successive. Le versioni supportate più recenti del dialetto SMB sono progettate per migliorare la sicurezza e le prestazioni. Vedere questo link per ulteriori informazioni sul motivo per cui è necessario abbandonare il dialetto SMBv1 nei flussi di lavoro. Non è consigliabile utilizzare SMBv1 in situazioni in cui sono disponibili versioni successive del dialetto per l'uso.

Per verificare se il supporto per il protocollo SMB1 è abilitato o disabilitato, stabilire una connessione SSH a un nodo, quindi eseguire il seguente comando:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Se il valore riportato è zero, allora è disabilitato. Se il valore riportato è uno, allora è abilitato.
 

Per disabilitare il supporto di SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

Per abilitare il supporto di SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Per implementare le modifiche e la supportabilità SMBv1, è necessario aggiornare (o riavviare) il servizio SRV sul cluster.

La disabilitazione del supporto per il protocollo SMB1 impedisce di stabilire nuove connessioni SMB1. Le connessioni SMB1 esistenti non vengono disconnesse anche dopo la disabilitazione della funzione.

Avvertimento:
Il riavvio del servizio SRV su un nodo può causare la disconnessione di tutte le connessioni SMB al nodo. Se le connessioni client SMB non eseguono il failover su un altro nodo, devono ristabilire una connessione al cluster. Se LWIO viene riavviato, tutte le connessioni SMB vengono terminate e viene richiesto il ristabilimento delle connessioni da parte del client.

Un aggiornamento forzato di SRV può essere eseguito su un singolo nodo connettendosi tramite SSH ed effettuando le seguenti operazioni:

/usr/likewise/bin/lwsm refresh srv

In rari casi, è necessario riavviare il servizio SRV. Procedi come segue:

/usr/likewise/bin/lwsm restart srv

Gli amministratori possono utilizzare "isi_for_array -sX" prima dei comandi per aggiornare o riavviare SRV nel cluster. Assicurarsi che il comando nidificato sia racchiuso tra virgolette. Anche se l'aggiornamento di SRV non ha un impatto, il suo riavvio potrebbe esserlo. Pianificare queste azioni in una finestra di manutenzione per ridurre le interruzioni per i client. Se gli amministratori notano problemi con queste azioni, si consiglia di contattare il supporto per ulteriore assistenza.

A partire da OneFS 9.6, il protocollo SMBv1 è disabilitato per impostazione predefinita. Microsoft ha terminato il supporto per il protocollo e ci sono numerosi problemi di sicurezza con esso che sono stati risolti nei dialetti più recenti. Di conseguenza, un cluster che utilizza SMBv1 riscontra un'interruzione del flusso di lavoro dopo l'aggiornamento. Gli amministratori possono evitare questo problema abilitando manualmente SMBv1 anziché basarsi esclusivamente sulla configurazione predefinita precedente. L'impostazione di SMBv1 su abilitato contrassegna l'impostazione come "non ereditata dalle impostazioni predefinite", garantendo che non vengano apportate modifiche a quella parte della configurazione dopo l'aggiornamento.

Per assicurarsi che il valore sia abilitato manualmente in OneFS 9.5 e versioni precedenti, seguire la procedura precedente per abilitare manualmente SMBv1 tramite gconfig. Gli amministratori devono eseguire questa operazione in una finestra di manutenzione per ridurre al minimo le interruzioni per i client SMBv1. Il comando per abilitare SMBv1 con gconfig in OneFS 9.5 e versioni precedenti è il seguente:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Ricordarsi di verificare che il valore riporti il valore 1. Gli amministratori possono disabilitare e quindi abilitare il supporto per SMBv1 per confermare l'applicazione delle modifiche ai valori. Se si prevede di utilizzare SMBv1 prima dell'aggiornamento dopo che è stato abilitato, è necessario un aggiornamento o un riavvio di SRV su tutti i nodi. Ciò ha un impatto sui client che utilizzano il protocollo SMB indipendentemente dal dialetto utilizzato.

Se gli amministratori dimenticano di abilitare in modo esplicito SMBv1 nella configurazione del cluster prima dell'aggiornamento, l'aggiornamento garantisce che sia impostato su disabilitato. Utilizzare il comando riportato di seguito dopo l'aggiornamento per abilitare nuovamente il supporto di SMBv1.

isi smb settings global modify --support-smb1=true

L'applicazione delle modifiche potrebbe richiedere un aggiornamento/riavvio forzato dei servizi. Si consiglia di apportare modifiche significative alla configurazione del cluster durante una finestra di manutenzione per ridurre al minimo l'impatto. Gli amministratori devono iniziare a pianificare la deprecazione completa di SMBv1 nel proprio ambiente, se non lo hanno già fatto.