PowerScale: Deaktivieren/Aktivieren der SMB-Verschlüsselung zusammen mit anderen Informationen in SMB2/SMB3-Versionen

Wir können den folgenden Befehl von einem Node aus ausführen und er zeigt, welche Version des SMB-Protokolls die Clients verwenden. Dies geschieht, während sie mit diesem Node verbunden sind.

# isi smb sessions list --verbose --format=table

So aktivieren Sie die SMB3-Verschlüsselung in einem Cluster:

Standardmäßig ist die SMB3-Verschlüsselung deaktiviert. So aktivieren Sie die SMB3-Verschlüsselung und gewähren sowohl verschlüsselten als auch unverschlüsselten Clients Zugriff auf den Server:

1. Navigieren Sie zu Protocols > Windows Sharing (SMB) >Server Settings.
2. Wählen Sie im Abschnitt Verschlüsselung unter Verschlüsselung auf verschlüsselungsfähigen SMB-Clients aktivieren die Option Nutzerdefiniert verwenden aus.
3. Aktivieren Sie Verschlüsselung auf verschlüsselungsfähigen SMB-Clients aktivieren .

Sowohl verschlüsselte als auch unverschlüsselte Clients haben Zugriff.

Es gibt keine Einstellungen in PowerScale OneFS, um nur SMB3-Clients zuzulassen und SMB2-Client-Verbindungen zu verweigern. Mit "Unverschlüsselten Zugriff ablehnen" stellt SMB2 jedoch keine Verbindung wie unten erläutert her.
Wie wir im folgenden Beispiel sehen können, ist standardmäßig die Option "Unverschlüsselten Zugriff ablehnen" aktiviert. Das bedeutet, dass bei unverschlüsseltem Datenverkehr (NUR, wenn die SMB3-Verschlüsselung aktiviert ist) sowohl SMB2- als auch SMB1-Datenverkehr abgelehnt werden.

Befehl zum globalen Überprüfen von SMB-Einstellungen:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Da die SMB3-Verschlüsselung standardmäßig deaktiviert ist, kann die Option ' Unverschlüsselten Zugriff ablehnen: Ja ' ist nicht wirksam. Sobald die SMB3-Verschlüsselung aktiviert ist, ist diese wirksam.
Eine ausführliche Erläuterung zur Verschlüsselung finden Sie im beigefügten Dokument "PowerScale-Design und Überlegungen für SMB". 

Wenn Administratoren vermeiden möchten, dass SMB2-Verbindungen bei aktivierter SMB3-Verschlüsselung abgelehnt werden, können sie das Attribut "Unverschlüsselten Zugriff ablehnen" in "Nein" (deaktiviert) ändern. Dies ermöglicht SMB2-Verbindungen, während SMB3-Verbindungen gemäß den Einstellungen verschlüsselt werden. Diese Einstellung kann auch global, auf einer bestimmten Zonenebene oder für eine bestimmte Freigabe festgelegt werden.

Wenn eine Verschlüsselung erforderlich ist, indem wir (global oder in einer Zugriffszone) beide Einstellungen wie folgt auf " Ja " setzen:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

Die Freigabeeinstellung " Smb3 Encryption Enabled " wird implizit auf " Yes " festgelegt, d. h., die Verschlüsselung ist für alle Freigaben aktiviert, unabhängig von dieser Einstellung auf Share-Ebene. Kurz gesagt: "Wenn wir Verschlüsselung verlangen, aktivieren wir sie implizit auch."

Es wird empfohlen, dies auf einer ausgewiesenen Testfreigabe zu testen, bevor es global oder auf einer bestimmten Zonenebene implementiert wird.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfSiehe Seite 36.

PowerScale: Info-Hub

zu OneFS-UpgradesZusätzliche Informationen von Microsoft:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/