PowerScale: Cómo deshabilitar/habilitar el cifrado de SMB junto con otra información en las versiones SMB2/SMB3

Podemos ejecutar el siguiente comando desde un nodo, y muestra qué versión del protocolo SMB están utilizando los clientes. Esto ocurre mientras están conectados a ese nodo.

# isi smb sessions list --verbose --format=table

Cómo habilitar el cifrado de SMB3 en un clúster:

De manera predeterminada, el cifrado de SMB3 está deshabilitado. Para habilitar el cifrado de SMB3 y permitir que los clientes cifrados y no cifrados accedan al servidor, realice lo siguiente:

1. Vaya a Protocols > Windows Sharing (SMB) >Server Settings.
2. En la sección Cifrado, en Habilitar cifrado en clientes SMB con capacidad de cifrado, seleccione Usar personalizado.
3. Marque Enable encryption on encryption-capable SMB clients.

Se permite el acceso tanto a clientes cifrados como no cifrados.

No hay ajustes en PowerScale OneFS para permitir solo clientes SMB3 y denegar las conexiones de clientes SMB2. Sin embargo, con "Rechazar acceso sin cifrar", SMB2 no se conecta como se explica a continuación.
Como podemos ver en el siguiente ejemplo, la opción 'Rechazar acceso sin cifrar' está habilitada de manera predeterminada. Esto significa que si se ve tráfico no cifrado (SOLO cuando el cifrado SMB3 está habilitado), rechaza el tráfico SMB2 y SMB1.

Comando para comprobar los ajustes de SMB globalmente:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Dado que el cifrado de SMB3 está deshabilitado de manera predeterminada, la opción ' Rechazar acceso sin cifrar: Sí ' no es eficaz. Una vez que el cifrado de SMB3 está habilitado, entra en vigencia.
La explicación detallada sobre el cifrado está disponible en el documento adjunto Diseño y consideraciones de PowerScale para SMB. 

Si los administradores desean evitar que las conexiones SMB2 se rechacen cuando el cifrado SMB3 está habilitado, pueden modificar el atributo "Rechazar acceso sin cifrar" a "no" (deshabilitado). Esto permite conexiones SMB2, mientras que las conexiones SMB3 se cifran según los ajustes. Esta configuración también se puede establecer globalmente, en un nivel de zona específico o para un recurso compartido específico.

Si "requerimos" el cifrado configurando (globalmente o en una zona de acceso) ambas configuraciones en 'Sí' como se muestra a continuación:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

La configuración del recurso compartido ' Smb3 Encryption Enabled ' se establece implícitamente en ' Yes ', es decir, el cifrado está habilitado en todos los recursos compartidos, independientemente de la configuración de nivel de recurso compartido. En resumen, "si requerimos cifrado, también lo habilitamos implícitamente".

Se recomienda que esto se pruebe en un recurso compartido de prueba designado antes de implementarlo globalmente o en un nivel de zona específico.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfConsulte la página 36.

PowerScale: Centro de información de actualizaciones de OneFS

Información adicional de Microsoft:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/