PowerScale: OneFS: 클러스터에서 SMB1을 활성화 또는 비활성화하는 방법

보안 문제로 인해 Dell Technologies는 OneFS에서 SMBv1 프로토콜 언어를 활성화하지 않는 것을 권장합니다. 장기적인 호환성을 보장하려면 이 프로토콜에서 전환하는 것이 좋습니다.

참고: SMBv1은 더 이상 Microsoft에서 지원되지 않습니다. SMBv1 언어를 사용하는 워크플로는 SMBv2 이상을 사용하도록 마이그레이션하는 것이 좋습니다. 지원되는 최신 버전의 SMB 언어는 보안 및 성능 향상을 위해 설계되었습니다. 워크플로에서 SMBv1 언어를 사용하지 말아야 하는 이유에 대한 자세한 내용은 이 링크를 참조하십시오. 더 높은 버전의 언어를 사용할 수 있는 상황에서는 SMBv1을 사용하지 않는 것이 좋습니다.

SMB1 프로토콜에 대한 지원이 활성화되어 있는지 또는 비활성화되어 있는지 확인하려면 노드에 대한 SSH 연결을 설정한 후 다음 명령을 실행합니다.

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

보고된 값이 0이면 비활성화됩니다. 보고된 값이 1이면 활성화됩니다.
 

SMBv1 지원을 비활성화하려면 다음을 수행합니다.

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

SMBv1 지원을 활성화하려면 다음을 수행합니다.

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

SMBv1 지원 가능성에 대한 변경 사항을 구현하려면 클러스터에서 SRV 서비스를 새로 고침(또는 재시작)해야 합니다.

SMB1 프로토콜에 대한 지원을 비활성화하면 새로운 SMB1 연결이 설정되지 않습니다. 기능을 비활성화한 후에도 기존 SMB1 연결이 끊어지지 않습니다.

경고:
노드에서 SRV 서비스를 다시 시작하면 노드에 대한 모든 SMB 연결이 끊어질 수 있습니다. SMB 클라이언트 접속이 다른 노드로 페일오버되지 않는 경우 클라이언트는 클러스터에 대한 접속을 다시 설정해야 합니다. LWIO가 재시작되면 모든 SMB 연결이 종료 되고 클라이언트에서 연결을 다시 설정해야 합니다.

SRV의 강제 새로 고침은 SSH를 통해 연결하고 다음을 수행하여 단일 노드에서 수행할 수 있습니다.

/usr/likewise/bin/lwsm refresh srv

드문 경우지만 SRV 서비스를 다시 시작해야 합니다. 다음과 같이 하십시오.

/usr/likewise/bin/lwsm restart srv

관리자는 명령 전에 "isi_for_array -sX"를 사용하여 클러스터 전체에서 SRV를 새로 고치거나 재시작할 수 있습니다. 중첩된 명령이 따옴표 안에 포함되어 있는지 확인합니다. SRV의 새로 고침은 영향을 미치지 않지만 다시 시작하면 영향을 미칠 수 있습니다. 유지 보수 기간에 이러한 작업을 계획하여 클라이언트의 중단을 완화합니다. 관리자가 이러한 작업과 관련된 문제를 발견하면 지원 부서에 문의하여 추가 지원을 받는 것이 좋습니다.

OneFS 9.6부터는 SMBv1 프로토콜이 기본적으로 비활성화됩니다. Microsoft는 프로토콜에 대한 지원을 종료했으며 최신 방언에서 해결된 수많은 보안 문제가 있습니다. SMBv1을 사용하는 클러스터에서는 결과적으로 업그레이드 후 워크플로가 중단됩니다. 관리자는 이전 기본 구성에 엄격하게 의존하는 대신 SMBv1을 수동으로 활성화하여 이를 방지할 수 있습니다. SMBv1을 활성화로 설정하면 설정이 "기본값에서 상속되지 않음"으로 표시되어 업그레이드 후 구성의 해당 부분이 변경되지 않습니다.

OneFS 9.5 이하 버전에서 값이 수동으로 활성화되도록 하려면 이전 단계에 따라 gconfig를 통해 SMBv1을 수동으로 활성화합니다. 관리자는 SMBv1 클라이언트의 중단을 최소화하기 위해 유지 보수 기간에 이 작업을 수행해야 합니다. OneFS 9.5 이하 버전에서 gconfig를 사용하여 SMBv1을 활성화하는 명령은 다음과 같습니다.

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

값이 값 1을 다시 보고하는지 확인해야 합니다. 관리자는 SMBv1에 대한 지원을 비활성화했다가 다시 활성화하여 값 변경 사항이 적용되는지 확인할 수 있습니다. SMBv1을 활성화한 후 업그레이드 전에 사용할 계획이 있는 경우 모든 노드에서 SRV를 새로 고치거나 재시작해야 합니다. 이는 사용되는 언어에 관계없이 SMB 프로토콜을 사용하는 클라이언트에 영향을 미칩니다.

관리자가 업그레이드 전에 클러스터 구성에서 SMBv1을 명시적으로 활성화하지 않은 경우 업그레이드 시 SMBv1이 disabled로 설정됩니다. 업그레이드 후 아래 명령을 사용하여 SMBv1 지원을 다시 활성화합니다.

isi smb settings global modify --support-smb1=true

변경 사항을 적용하려면 서비스를 강제로 새로 고침/재시작해야 할 수 있습니다. 클러스터 구성에 대한 중요한 변경은 유지 보수 기간 중에 수행하여 영향을 최소화하는 것이 좋습니다. 관리자는 아직 SMBv1의 완전한 사용 중단 계획을 세우지 않은 경우 해당 환경에서 계획을 시작해야 합니다.