PowerScale: OneFS: Як увімкнути або вимкнути SMB1 на кластері

Через питання безпеки Dell Technologies не рекомендує вмикати діалект протоколу SMBv1 у OneFS. Щоб забезпечити довгострокову сумісність, розгляньте можливість переходу від цього протоколу.

Примітка: SMBv1 більше не підтримується Microsoft. Microsoft рекомендує мігрувати робочі процеси, що використовують діалект SMBv1, на SMBv2 або новішу версію. Новіші підтримувані версії діалекту SMB розроблені для кращої безпеки та продуктивності. Дивіться це посилання для додаткової інформації про те, чому варто відмовитися від діалекту SMBv1 у робочих процесах. Не рекомендується використовувати SMBv1 у ситуаціях, коли доступні вищі версії діалекту.

Щоб перевірити, чи увімкнено або вимкнено підтримку протоколу SMB1, встановити SSH-з'єднання з вузлом і виконати наступну команду:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Якщо вказане значення дорівнює нулю, то воно вимкнено. Якщо значення, що вказується , — один, тоді воно увімкнено.
 

Щоб вимкнути підтримку SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

Для забезпечення підтримки SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Для впровадження змін для підтримки SMBv1 потрібне оновлення (або перезапуск) сервісу SRV на кластері.

Вимкнення підтримки протоколу SMB1 перешкоджає встановленню нових з'єднань SMB1. Існуючі з'єднання SMB1 не відключаються навіть після вимкнення функції.

Попередження:
Перезапуск сервісу SRV на вузлі може призвести до відключення всіх SMB-з'єднань з вузлом. Якщо клієнтські з'єднання SMB не переходять до іншого вузла, клієнти повинні відновити з'єднання з кластером. Якщо LWIO перезапускається, всі SMB-з'єднання завершуються і потрібне відновлення з'єднань для клієнта.

Примусове оновлення SRV можна виконати на одному вузлі, підключившись через SSH і виконавши наступне:

/usr/likewise/bin/lwsm refresh srv

У рідкісних випадках потрібне відновлення сервісу SRV. Робіть наступне:

/usr/likewise/bin/lwsm restart srv

Адміністратори можуть використовувати "isi_for_array -sX" перед командами для оновлення або перезапуску SRV по всьому кластеру. Переконайтеся, що вкладена команда міститься в лапках. Хоча оновлення SRV не має великого значення, його перезапуск може допомогти. Плануйте ці дії у період обслуговування, щоб зменшити перешкоди для клієнтів. Якщо адміністратори помічають будь-які проблеми з цими діями, рекомендується звернутися до Підтримки для подальшої допомоги.

Починаючи з OneFS 9.6, протокол SMBv1 за замовчуванням вимкнений. Microsoft припинила підтримку протоколу, і існує багато проблем із безпекою, які були вирішені у новіших діалектах. Кластер, що використовує SMBv1, зазнає порушень у робочому процесі після оновлення. Адміністратори можуть уникнути цього, вручну увімкнувши SMBv1 замість того, щоб покладатися виключно на стару стандартну конфігурацію. Встановлення SMBv1 у активне положення позначає налаштування як «не успадковане від стандартних», гарантуючи, що після оновлення не змінюється ця частина конфігурації.

Щоб переконатися, що значення ввімкнене вручну в OneFS 9.5 і ранніх версіях, виконайте попередні кроки, щоб вручну увімкнути SMBv1 через gconfig. Адміністратори повинні робити це у період обслуговування, щоб мінімізувати перебої для клієнтів SMBv1. Команда для увімкнути SMBv1 з gconfig у OneFS 9.5 та раніше наведена нижче:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Не забувайте перевірити, що значення повертає значення 1. Адміністратори можуть вимкнути, а потім увімкнути підтримку SMBv1, щоб підтвердити набуття чинності змін вартості. Якщо є плани використовувати SMBv1 до оновлення після його увімкнення, потрібне оновлення або перезапуск SRV на всіх вузлах. Це впливає на клієнтів, які використовують протокол SMB, незалежно від того, який діалект використовується.

Якщо адміністратори забувають явно увімкнути SMBv1 у конфігурації кластера перед оновленням, оновлення гарантує, що він буде вимкнений. Використовуйте команду нижче postupgrade, щоб знову увімкнути підтримку SMBv1.

isi smb settings global modify --support-smb1=true

Це може вимагати примусового оновлення/перезапуску сервісів, щоб ці зміни набули чинності. Ми рекомендуємо внести будь-які суттєві зміни в конфігурацію кластера під час періоду обслуговування, щоб мінімізувати вплив. Адміністраторам слід починати планувати повне виведення з експлуатації SMBv1 у своєму середовищі, якщо вони цього ще не зробили.