PowerScale: OneFS: Como ativar ou desativar o SMB1 em um cluster

Por questões de segurança, a Dell Technologies não recomenda ativar o dialeto do protocolo SMBv1 no OneFS. Para garantir a compatibilidade em longo prazo, considere fazer a transição para fora deste protocolo.

Nota: O SMBv1 não é mais compatível com a Microsoft. A Microsoft recomenda que os fluxos de trabalho que usam o dialeto SMBv1 sejam migrados para usar SMBv2 ou posterior. As versões mais recentes compatíveis do dialeto SMB foram projetadas para melhorar a segurança e o desempenho. Consulte este link para obter informações adicionais sobre por que você deve se afastar do dialeto SMBv1 em fluxos de trabalho. Não é recomendável usar o SMBv1 em situações em que versões superiores do dialeto estão disponíveis para uso.

Para verificar se o suporte ao protocolo SMB1 está ativado ou desativado, estabeleça uma conexão SSH com um nó e execute o seguinte comando:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Se o valor informado for zero, ele será desabilitado. Se o valor reportado for um, ele será habilitado.
 

Para desativar o suporte do SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

Para habilitar o suporte do SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Uma atualização (ou reinicialização) do serviço SRV no cluster é necessária para implementar alterações para a capacidade de suporte do SMBv1.

Desabilitar o suporte para o protocolo SMB1 impede que novas conexões SMB1 sejam estabelecidas. As conexões SMB1 existentes não são desconectadas mesmo após a desativação do recurso.

Aviso:
Reiniciar o serviço SRV em um nó pode fazer com que todas as conexões SMB com o nó sejam desconectadas. Se as conexões do client SMB não sofrerem fail over para outro nó, os clients deverão restabelecer uma conexão com o cluster. Se o LWIO for reiniciado, todas as conexões SMB serão encerradas e o client de conexões será necessário.

Uma atualização forçada do SRV pode ser feita em um único nó conectando-se por SSH e fazendo o seguinte:

/usr/likewise/bin/lwsm refresh srv

Em raras circunstâncias, é necessário reiniciar o serviço SRV. Faça o seguinte:

/usr/likewise/bin/lwsm restart srv

Os administradores podem usar "isi_for_array -sX" antes dos comandos para atualizar ou reiniciar o SRV no cluster. Certifique-se de que o comando aninhado esteja contido entre aspas. Embora a atualização do SRV não seja impactante, reiniciar pode ser. Planeje essas ações em uma janela de manutenção para reduzir a disrupção dos clientes. Se os administradores perceberem problemas com essas ações, é recomendável que entrem em contato com o Suporte para obter mais assistência.

A partir do OneFS 9.6, o protocolo SMBv1 é desativado por padrão. A Microsoft encerrou o suporte para o protocolo e há inúmeras preocupações de segurança com ele que foram abordadas em dialetos mais recentes. Como resultado, um cluster que usa SMBv1 interrompe o fluxo de trabalho após o upgrade. Os administradores podem evitar isso ativando manualmente o SMBv1 em vez de confiar estritamente na configuração padrão mais antiga. Definir o SMBv1 como ativado marca a configuração como "não herdada dos padrões", garantindo que não haja alterações nessa parte da configuração após o upgrade.

Para garantir que o valor seja habilitado manualmente no OneFS 9.5 e versões anteriores, siga as etapas anteriores para habilitar manualmente o SMBv1 por meio do gconfig. Os administradores devem fazer isso em uma janela de manutenção para minimizar a interrupção nos clients SMBv1. O comando para ativar o SMBv1 com gconfig no OneFS 9.5 e versões anteriores está abaixo:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Lembre-se de validar que o valor reporta o valor 1 de volta. Os administradores podem desabilitar e habilitar o suporte para SMBv1 para confirmar se as alterações de valor terão efeito. Se houver planos de usar o SMBv1 antes do upgrade depois que ele estiver habilitado, será necessário atualizar ou reiniciar o SRV em todos os nós. Isso é impactante para os clientes que usam o protocolo SMB, independentemente do dialeto usado.

Se os administradores se esquecerem de habilitar explicitamente o SMBv1 na configuração em cluster antes do upgrade, o upgrade garantirá que ele seja definido como desabilitado. Use o comando abaixo pós-upgrade para reativar o suporte do SMBv1.

isi smb settings global modify --support-smb1=true

Isso pode exigir uma atualização/reinicialização forçada dos serviços para que essas alterações tenham efeito. Recomendamos que quaisquer alterações significativas na configuração em cluster sejam feitas durante uma janela de manutenção para minimizar o impacto. Os administradores devem começar a planejar a substituição total do SMBv1 em seu ambiente, caso ainda não tenham feito isso.