PowerScale: OneFS: Så här aktiverar eller inaktiverar du SMB1 på ett kluster

Av säkerhetsskäl rekommenderar Dell Technologies inte att man aktiverar SMBv1-protokolldialekten i OneFS. För att säkerställa långsiktig kompatibilitet bör du överväga att övergå från det här protokollet.

Obs! SMBv1 stöds inte längre av Microsoft. Microsoft rekommenderar att arbetsflöden som använder SMBv1-dialekt migreras över till att använda SMBv2 eller senare. Nyare versioner av SMB-dialekten som stöds är utformade för bättre säkerhet och prestanda. Se den här länken för ytterligare information om varför du bör gå bort från SMBv1-dialekt i arbetsflöden. Vi rekommenderar inte att du använder SMBv1 i situationer där högre versioner av dialekten är tillgängliga för användning.

Kontrollera om stöd för SMB1-protokollet är aktiverat eller inaktiverat genom att upprätta en SSH-anslutning till en nod och sedan köra följande kommando:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Om det rapporterade värdet är en nolla inaktiveras det. Om det rapporterade värdet är ett aktiveras det.
 

Så här inaktiverar du stöd för SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

Så här aktiverar du stöd för SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

En uppdatering (eller omstart) av SRV-tjänsten i klustret krävs för att implementera ändringar för SMBv1-stöd.

Inaktivering av stöd för SMB1-protokollet förhindrar att nya SMB1-anslutningar upprättas. Befintliga SMB1-anslutningar kopplas inte från även efter att funktionen har inaktiverats.

Varning:
Om du startar om SRV-tjänsten på en nod kan det leda till att alla SMB-anslutningar till noden kopplas från. Om SMB-klientanslutningarna inte redundansväxlar till en annan nod måste klienterna återupprätta en anslutning till klustret. Om LWIO startas om avslutas alla SMB-anslutningar och klientens återupprättande av anslutningar krävs.

En framtvingad uppdatering av SRV kan göras på en enskild nod genom att ansluta via SSH och göra följande:

/usr/likewise/bin/lwsm refresh srv

I sällsynta fall krävs en omstart av SRV-tjänsten. Gör följande:

/usr/likewise/bin/lwsm restart srv

Administratörer kan använda "isi_for_array -sX" före kommandona för att uppdatera eller starta om SRV i klustret. Kontrollera att det kapslade kommandot finns inom citattecken. Även om uppdateringen av SRV inte har någon inverkan kan det hända att du startar om den. Planera för dessa åtgärder i en underhållsperiod för att minimera störningar för klienter. Om administratörer upptäcker problem med dessa åtgärder rekommenderar vi att de kontaktar supporten för ytterligare hjälp.

Från och med OneFS 9.6 är SMBv1-protokollet inaktiverat som standard. Microsoft har avslutat stödet för protokollet och det finns många säkerhetsproblem med det som har åtgärdats på nyare dialekter. Ett kluster som använder SMBv1 ser därför ett avbrott i arbetsflödet efter uppgraderingen. Administratörer kan undvika detta genom att manuellt aktivera SMBv1 i stället för att strikt förlita sig på den äldre standardkonfigurationen. Om du ställer in SMBv1 på aktiverad markeras inställningen som "inte ärvd från standardinställningarna", vilket garanterar att inga ändringar görs i den delen av konfigurationen efter uppgraderingen.

Om du vill vara säker på att värdet aktiveras manuellt i OneFS 9.5 och tidigare följer du de tidigare stegen för att aktivera SMBv1 manuellt via gconfig. Administratörer bör göra detta i en underhållsperiod för att minimera störningar i SMBv1-klienter. Kommandot för att aktivera SMBv1 med gconfig i OneFS 9.5 och tidigare finns nedan:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Kom ihåg att kontrollera att värdet rapporterar värdet 1 tillbaka. Administratörer kan inaktivera och sedan aktivera stöd för SMBv1 för att bekräfta att värdeändringarna börjar gälla. Om det finns planer på att använda SMBv1 före uppgraderingen efter att den har aktiverats krävs en SRV-uppdatering eller omstart på alla noder. Detta påverkar klienter som använder SMB-protokoll oavsett vilken dialekt som används.

Om administratörer glömmer att uttryckligen aktivera SMBv1 i klusterkonfigurationen före uppgraderingen säkerställer uppgraderingen att den är inställd på inaktiverad. Använd kommandot nedan efter uppgraderingen för att återaktivera stödet för SMBv1.

isi smb settings global modify --support-smb1=true

Detta kan kräva en framtvingad uppdatering/omstart av tjänsterna för att ändringarna ska börja gälla. Vi rekommenderar att alla betydande ändringar i klusterkonfigurationen görs under en underhållsperiod för att minimera påverkan. Administratörer bör börja planera den fullständiga utfasningen av SMBv1 i sin miljö om de inte redan har gjort det.