PowerScale: Come disabilitare/abilitare la crittografia SMB insieme ad altre informazioni nelle versioni SMB2/SMB3

È possibile eseguire il comando riportato di seguito da un nodo che mostra la versione del protocollo SMB utilizzata dai client. Ciò avviene mentre sono connessi a tale nodo.

# isi smb sessions list --verbose --format=table

Come abilitare la crittografia SMB3 in un cluster:

Per impostazione predefinita, la crittografia SMB3 è disabilitata. Per abilitare la crittografia SMB3 e consentire ai client crittografati e non crittografati di accedere al server:

1. Passare a Protocols > Windows Sharing (SMB) >Server Settings.
2. Nella sezione Encryption, in Enable encryption on encryption-capable SMB clients, selezionare Use Custom.
3. Selezionare Enable encryption on encryption-capable SMB clients.

L'accesso è consentito ai client crittografati e non crittografati.

PowerScale OneFS non dispone di impostazioni per consentire solo client SMB3 e negare connessioni client SMB2. Tuttavia, con "Reject Unencrypted Access" SMB2 non si connette come spiegato di seguito.
Come possiamo vedere nell'esempio seguente, per impostazione predefinita l'opzione "Reject Unencrypted Access" è abilitata. Ciò significa che se viene rilevato traffico non crittografato (SOLO quando è abilitata la crittografia SMB3), il traffico SMB2 e SMB1 viene rifiutato.

Comando per controllare le impostazioni SMB a livello globale:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Poiché la crittografia SMB3 è disabilitata per impostazione predefinita, l'opzione ' Reject Unencrypted Access - Sì' non è efficace. Una volta abilitata, la crittografia SMB3 è effettiva.
La spiegazione dettagliata sulla crittografia è disponibile nel documento "PowerScale Design and Considerations for SMB" come allegato. 

Se gli amministratori desiderano evitare che le connessioni SMB2 vengano rifiutate quando la crittografia SMB3 è abilitata, possono modificare l'attributo "Reject Unencrypted Access" su "no" (disabled). Ciò consente le connessioni SMB2, mentre le connessioni SMB3 vengono crittografate in base alle impostazioni. Questa impostazione può anche essere impostata a livello globale o a livello di zona specifica o per una particolare condivisione.

Se "richiediamo" la crittografia impostando (globalmente o in una zona di accesso) entrambe le impostazioni su 'Sì' come di seguito:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

L'impostazione di condivisione "Smb3 Encryption Enabled " è implicitamente impostata su "Sì", ovvero la crittografia è abilitata su tutte le condivisioni, indipendentemente dall'impostazione a livello di condivisione. In breve, "se abbiamo bisogno di crittografia, la abilitiamo anche implicitamente".

Si consiglia di testarlo su una condivisione di test designata prima di implementarlo a livello globale o in una zona specifica.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfVedere pagina 36.

PowerScale: Hub

di informazioni sugli upgrade di OneFSUlteriori informazioni da Microsoft:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/