PowerScale: SMB-salauksen ja muiden tietojen poistaminen käytöstä/ottaminen käyttöön SMB2/SMB3-versioissa

Voimme suorittaa alla olevan komennon solmussa, ja se näyttää, mitä SMB-protokollan versiota asiakkaat käyttävät. Tämä tapahtuu, kun ne ovat yhteydessä kyseiseen solmuun.

# isi smb sessions list --verbose --format=table

SMB3-salauksen ottaminen käyttöön klusterissa:

SMB3-salaus on oletusarvoisesti pois käytöstä. SMB3-salauksen käyttöönotto ja sekä salattujen että salaamattomien asiakkaiden pääsy palvelimelle:

1. Siirry kohtaan Protokollat > Windows Sharing (SMB) >Server Settings.
2. Valitse Salaus-osan Ota salaus käyttöön salausta tukevissa SMB-työasemissa -kohdassa Käytä mukautettua.
3. Valitse Ota salaus käyttöön salausta tukevissa SMB-työasemissa.

Sekä salattuja että salaamattomia asiakkaita voidaan käyttää.

PowerScale OneFS:ssä ei ole asetuksia, jotka sallisivat vain SMB3-työasemat ja estäisivät SMB2-asiakasyhteydet. 'Hylkää salaamaton pääsy' SMB2 ei kuitenkaan muodosta yhteyttä alla kuvatulla tavalla.
Kuten näemme alla olevasta esimerkistä, 'Hylkää salaamaton käyttö' on oletusarvoisesti käytössä. Tämä tarkoittaa, että jos salaamatonta liikennettä näkyy (VAIN kun SMB3-salaus on käytössä), se hylkää sekä SMB2- että SMB1-liikenteen.

Komento, jolla tarkistetaan SMB-asetukset maailmanlaajuisesti:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Koska SMB3-salaus on oletusarvoisesti poissa käytöstä, vaihtoehto ' Hylkää salaamaton pääsy: Kyllä" ei ole tehokas. Kun SMB3-salaus on otettu käyttöön, se on tehokasta.
Salauksen yksityiskohtainen kuvaus on liitteenä olevassa PowerScale Design and Considerations for SMB -asiakirjassa. 

Jos järjestelmänvalvojat haluavat välttää SMB2-yhteyksien hylkäämisen, kun SMB3-salaus on käytössä, he voivat muuttaa määritteen "Hylkää salaamaton käyttö" arvoksi "ei" (pois käytöstä). Tämä sallii SMB2-yhteydet, kun taas SMB3-yhteydet salataan asetusten mukaisesti. Tämä asetus voidaan määrittää myös yleisesti tai tietyllä vyöhyketasolla tai tietylle jaolle.

Jos "vaadimme" salausta asettamalla (yleisesti tai käyttöoikeusvyöhykkeellä) molempien asetusten arvoksi ' Yes ' kuten alla:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

Jakoasetus ' Smb3-salaus käytössä ' on implisiittisesti asetettu arvoon ' Yes ', eli salaus on käytössä kaikissa jaetuissa resursseissa riippumatta kyseisestä jakotason asetuksesta. Lyhyesti sanottuna: "Jos tarvitsemme salausta, otamme sen myös epäsuorasti käyttöön."

On suositeltavaa, että tämä testataan nimetyllä testiosuudella ennen sen käyttöönottoa maailmanlaajuisesti tai tietyllä vyöhyketasolla.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfKatso sivu 36.

PowerScale: OneFS-päivitysten tietokeskus

Lisätietoja Microsoftilta:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/