PowerScale: Jak zakázat/povolit šifrování SMB spolu s dalšími informacemi ve verzích SMB2/SMB3

Níže uvedený příkaz můžeme spustit z uzlu a uvidíte, jakou verzi protokolu SMB klienti používají. To se děje v době, kdy jsou připojeny k tomuto uzlu.

# isi smb sessions list --verbose --format=table

Jak povolit šifrování SMB3 v clusteru:

Ve výchozím nastavení je šifrování SMB3 zakázáno. Chcete-li povolit šifrování SMB3 a povolit šifrovaným i nešifrovaným klientům přístup k serveru:

1. Přejděte do nastavení
serveru Protocols > Windows Sharing (SMB). >2. V části Šifrování v části Povolit šifrování na klientech SMB s podporou šifrování vyberte Použít vlastní.
3. Zaškrtněte políčko Povolit šifrování na klientech SMB s podporou šifrování.

Přístup je povolen šifrovaným i nešifrovaným klientům.

V systému PowerScale OneFS nejsou žádná nastavení, která by povolovala pouze klienty SMB3 a zakazovala připojení klientů SMB2. Při použití možnosti "Odmítnout nešifrovaný přístup" se však protokol SMB2 nepřipojí, jak je vysvětleno níže.
Jak vidíme v příkladu níže, ve výchozím nastavení je povolena možnost "Odmítnout nešifrovaný přístup". To znamená, že pokud je zaznamenán nějaký nešifrovaný provoz (POUZE v případě, že je povoleno šifrování SMB3), odmítne provoz SMB2 i SMB1.

Příkaz ke globální kontrole nastavení SMB:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Vzhledem k tomu, že šifrování SMB3 je ve výchozím nastavení zakázáno, možnost ' Odmítnout nešifrovaný přístup: Ano " není účinný. Jakmile je šifrování SMB3 povoleno, je to účinné.
Podrobné vysvětlení šifrování je k dispozici v přiloženém dokumentu "PowerScale Design and Considerations for SMB". 

Pokud správci nechtějí zabránit odmítnutí připojení SMB2, když je povoleno šifrování SMB3, mohou upravit atribut "Odmítnout nešifrovaný přístup" na hodnotu "ne" (zakázáno). To umožňuje připojení SMB2, zatímco připojení SMB3 jsou šifrována podle nastavení. Toto nastavení lze také nastavit globálně nebo na úrovni konkrétní zóny nebo pro konkrétní sdílenou složku.

Pokud "vyžadujeme" šifrování nastavením (globálně nebo v přístupové zóně) obě nastavení na "Ano", jak je uvedeno níže:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

Nastavení sdílené složky "Šifrování SMB3 povoleno " je implicitně nastaveno na Ano, to znamená, že šifrování je povoleno u všech sdílených složek bez ohledu na toto nastavení na úrovni sdílené složky. Stručně řečeno, "pokud požadujeme šifrování, také jej implicitně povolujeme".

Před implementací globálně nebo na úrovni určité zóny doporučujeme tento postup otestovat na určené testovací sdílené části.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfViz strana 36.

PowerScale: Upgrady systému OneFS – Informační centrum

Další informace od společnosti Microsoft:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/