PowerScale: OneFS: Włączanie i wyłączanie protokołu SMB1 w klastrze

Ze względów bezpieczeństwa firma Dell Technologies nie zaleca włączania dialektu protokołu SMBv1 w OneFS. Aby zapewnić długoterminową zgodność, rozważ odejście od tego protokołu.

Uwaga: Protokół SMBv1 nie jest już obsługiwany przez firmę Microsoft. Firma Microsoft zaleca migrację przepływów pracy korzystających z dialektu SMBv1 w celu użycia protokołu SMBv2 lub nowszego. Nowsze obsługiwane wersje dialektu SMB zostały zaprojektowane z myślą o lepszych zabezpieczeniach i wydajności. Ten link zawiera dodatkowe informacje o tym, dlaczego należy odejść od dialektu SMBv1 w przepływach pracy. Nie zaleca się używania protokołu SMBv1 w sytuacjach, gdy dostępne są wyższe wersje dialektu.

Aby sprawdzić, czy obsługa protokołu SMB1 jest włączona, czy wyłączona, nawiąż połączenie SSH z węzłem, a następnie uruchom następujące polecenie:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Jeśli zgłoszona wartość jest równa zero, oznacza to, że jest wyłączona. Jeśli zgłoszona wartość wynosi jeden, oznacza to, że karta jest włączona.
 

Aby wyłączyć obsługę protokołu SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

Aby włączyć obsługę protokołu SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Odświeżenie (lub ponowne uruchomienie) usługi SRV w klastrze jest wymagane do wdrożenia zmian dotyczących obsługi protokołu SMBv1.

Wyłączenie obsługi protokołu SMB1 uniemożliwia nawiązywanie nowych połączeń SMB1. Istniejące połączenia SMB1 nie są rozłączane nawet po wyłączeniu tej funkcji.

Ostrzeżenie:
Ponowne uruchomienie usługi SRV w węźle może spowodować rozłączenie wszystkich połączeń SMB z węzłem. Jeśli połączenia klientów SMB nie zostaną przełączone awaryjnie na inny węzeł, klienci muszą ponownie nawiązać połączenie z klastrem. W przypadku ponownego uruchomienia LWIO wszystkie połączenia SMB zostaną zakończone i wymagane będzie ponowne ustanowienie połączeń przez klienta.

Wymuszone odświeżenie SRV można wykonać w jednym węźle, łącząc się za pośrednictwem SSH i wykonując następujące czynności:

/usr/likewise/bin/lwsm refresh srv

W rzadkich przypadkach wymagane jest ponowne uruchomienie usługi SRV. Wykonaj następujące czynności:

/usr/likewise/bin/lwsm restart srv

Administratorzy mogą użyć polecenia "isi_for_array -sX" przed poleceniami, aby odświeżyć lub ponownie uruchomić SRV w klastrze. Upewnij się, że zagnieżdżone polecenie zawiera się w cudzysłowie. Odświeżenie SRV nie ma wpływu, ale jego ponowne uruchomienie może mieć wpływ. Zaplanuj te akcje w oknie obsługi, aby ograniczyć zakłócenia dla klientów. Jeśli administratorzy zauważą jakiekolwiek problemy z tymi działaniami, zaleca się skontaktowanie się z pomocą techniczną w celu uzyskania dalszej pomocy.

Począwszy od OneFS 9.6, protokół SMBv1 jest domyślnie wyłączony. Firma Microsoft zakończyła wsparcie dla tego protokołu i istnieje wiele problemów z bezpieczeństwem, które zostały rozwiązane w nowszych dialektach. W rezultacie klaster korzystający z protokołu SMBv1 widzi zakłócenie przepływu pracy po uaktualnieniu. Administratorzy mogą tego uniknąć, ręcznie włączając protokół SMBv1 zamiast polegać wyłącznie na starszej konfiguracji domyślnej. Ustawienie SMBv1 na włączone oznacza ustawienie jako "niedziedziczone z wartości domyślnych", zapewniając brak zmian w tej części konfiguracji po uaktualnieniu.

Aby upewnić się, że wartość jest włączona ręcznie w OneFS 9.5 i starszych, wykonaj wcześniejsze kroki w celu ręcznego włączenia protokołu SMBv1 za pomocą narzędzia gconfig. Administratorzy powinni to zrobić w oknie obsługi, aby zminimalizować zakłócenia w działaniu klientów SMBv1. Polecenie włączania SMBv1 z gconfig w OneFS w wersji 9.5 i wcześniejszych znajduje się poniżej:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Pamiętaj, aby sprawdzić, czy wartość zgłasza wartość 1 z powrotem. Administratorzy mogą wyłączyć, a następnie włączyć obsługę protokołu SMBv1, aby potwierdzić, że zmiany wartości zostały wprowadzone. Jeśli istnieją plany użycia protokołu SMBv1 przed uaktualnieniem po jego włączeniu, wymagane jest odświeżenie lub ponowne uruchomienie SRV we wszystkich węzłach. Ma to wpływ na klientów korzystających z protokołu SMB niezależnie od tego, który dialekt jest używany.

Jeśli administratorzy zapomną o jawnym włączeniu protokołu SMBv1 w konfiguracji klastra przed aktualizacją, aktualizacja zapewni wyłączenie tego protokołu. Aby ponownie włączyć obsługę protokołu SMBv1, użyj poniższego polecenia po uaktualnieniu.

isi smb settings global modify --support-smb1=true

Może to wymagać wymuszonego odświeżenia/ponownego uruchomienia usług, aby zmiany zaczęły obowiązywać. Zalecamy, aby wszelkie istotne zmiany konfiguracji klastra były wykonywane w oknie konserwacji, aby zminimalizować wpływ. Administratorzy powinni rozpocząć planowanie pełnego wycofania protokołu SMBv1 w swoim środowisku, jeśli jeszcze tego nie zrobili.