PowerScale. OneFS. Включение или отключение SMB1 в кластере

Из соображений безопасности Dell Technologies не рекомендует включать диалект протокола SMBv1 в OneFS. Чтобы обеспечить долгосрочную совместимость, рассмотрите возможность отказа от этого протокола.

Примечание. Корпорация Майкрософт больше не поддерживает протокол SMBv1. Корпорация Майкрософт рекомендует перенести рабочие процессы, использующие диалект SMBv1, на использование SMBv2 или более поздней версии. Более новые поддерживаемые версии диалекта SMB предназначены для повышения уровня безопасности и производительности. Дополнительные сведения о том, почему следует отказаться от диалекта SMBv1 в рабочих процессах, см. по этой ссылке. Не рекомендуется использовать SMBv1 в ситуациях, когда для использования доступны более высокие версии диалекта.

Чтобы проверить, включена или выключена поддержка протокола SMB1, установите подключение SSH к узлу, а затем выполните следующую команду:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Если сообщенное значение равно нулю, то он отключается. Если сообщается значение, равное единице, этот параметр включен.
 

Чтобы отключить поддержку SMBv1, выполните следующие действия.

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

Чтобы включить поддержку SMBv1, выполните следующие действия.

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Для реализации изменений, обеспечивающих поддержку SMBv1, требуется обновление (или перезапуск) службы SRV в кластере.

Отключение поддержки протокола SMB1 предотвращает установку новых подключений SMB1. Существующие подключения SMB1 не отключаются даже после отключения этой функции.

Предупреждение:
Перезапуск сервиса SRV на узле может привести к отключению всех SMB-подключений к узлу. Если клиентские подключения SMB не переключаются на другой узел, клиенты должны повторно установить подключение к кластеру. При перезапуске LWIO все SMB-подключения разрываются и требуется заново установить подключения клиента.

Принудительное обновление SRV можно выполнить на одном узле, подключившись по SSH и выполнив следующие действия:

/usr/likewise/bin/lwsm refresh srv

В редких случаях требуется перезапуск службы SRV. Выполните следующие действия.

/usr/likewise/bin/lwsm restart srv

Администраторы могут использовать команду «isi_for_array -sX перед командами обновления или перезапуска SRV в кластере. Убедитесь, что вложенная команда содержится в кавычках. Хотя обновление SRV не повлияет на него, перезапуск может повлиять. Запланируйте эти действия в период обслуживания, чтобы свести к минимуму неудобства для клиентов. Если администраторы заметят какие-либо проблемы с этими действиями, им рекомендуется обратиться за помощью в службу поддержки.

Начиная с версии OneFS 9.6, протокол SMBv1 по умолчанию отключен. Корпорация Майкрософт прекратила поддержку протокола, и с ним связано множество проблем безопасности, которые были решены на новых диалектах. В результате кластер, использующий протокол SMBv1, сталкивается с прерыванием рабочего процесса после обновления. Администраторы могут избежать этого, включив SMBv1 вручную вместо того, чтобы полагаться исключительно на старую конфигурацию по умолчанию. При включении SMBv1 параметр помечается как «не унаследованный от значений по умолчанию», что гарантирует отсутствие изменений в этой части конфигурации после обновления.

Чтобы убедиться, что это значение включено вручную в OneFS 9.5 и более ранних версиях, выполните предыдущие действия, чтобы включить SMBv1 вручную в gconfig. Администраторы должны делать это в период обслуживания, чтобы свести к минимуму прерывание работы клиентов SMBv1. Команда для включения SMBv1 с gconfig в OneFS 9.5 и более ранних версиях выглядит следующим образом:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Не забудьте проверить, что значение возвращает значение 1. Администраторы могут отключить, а затем включить поддержку SMBv1, чтобы подтвердить, что изменения значений вступили в силу. Если перед модернизацией после включения протокола планируется использовать протокол SMBv1, необходимо обновить или перезапустить SRV на всех узлах. Это влияет на клиентов, использующих протокол SMB, независимо от используемого диалекта.

Если администраторы забудут явно включить SMBv1 в конфигурации кластера перед обновлением, то обновление гарантирует, что для него будет установлено значение «Отключено». Используйте следующую команду после обновления, чтобы снова включить поддержку SMBv1.

isi smb settings global modify --support-smb1=true

Для того, чтобы эти изменения вступили в силу, может потребоваться принудительное обновление или перезапуск служб. Мы рекомендуем вносить любые существенные изменения в конфигурацию кластера во время окна обслуживания, чтобы свести к минимуму их влияние. Администраторам следует начать планирование полного прекращения поддержки SMBv1 в своей среде, если они еще этого не сделали.