PowerScale: Wyłączanie/włączanie szyfrowania SMB wraz z innymi informacjami w wersjach SMB2/SMB3

Poniższe polecenie możemy uruchomić z węzła. Pokazuje ono wersję protokołu SMB używaną przez klientów. Dzieje się tak, gdy są one podłączone do tego węzła.

# isi smb sessions list --verbose --format=table

Jak włączyć szyfrowanie SMB3 w klastrze:

Szyfrowanie SMB3 jest domyślnie wyłączone. Aby włączyć szyfrowanie SMB3 oraz zezwolić zarówno zaszyfrowanym, jak i nieszyfrowanym klientom na dostęp do serwera:

1. Przejdź do opcji Protokoły > Ustawienia serwera udostępniania systemu Windows (SMB). >
2. W sekcji Szyfrowanie w obszarze Włącz szyfrowanie na klientach SMB z obsługą szyfrowania wybierz pozycję Użyj niestandardowego.
3. Zaznacz pole wyboru Włącz szyfrowanie na klientach SMB z obsługą szyfrowania.

Dostęp mają zarówno zaszyfrowani, jak i nieszyfrowani klienci.

W programie PowerScale OneFS nie ma ustawień, które zezwalałyby tylko na klientów SMB3 i blokowały połączenia klientów SMB2. Jednak w przypadku opcji "Reject Unencrypted Access" protokół SMB2 nie łączy się w sposób wyjaśniony poniżej.
Jak widać na poniższym przykładzie, domyślnie włączona jest opcja "Odrzuć dostęp nieszyfrowany". Oznacza to, że jeśli widoczny jest jakikolwiek ruch nieszyfrowany (TYLKO gdy szyfrowanie SMB3 jest włączone), odrzuca zarówno ruch SMB2, jak i SMB1.

Polecenie globalnego sprawdzenia ustawień SMB:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Ponieważ szyfrowanie SMB3 jest domyślnie wyłączone, opcja ' Odrzuć nieszyfrowany dostęp: Tak" nie jest skuteczne. Po włączeniu szyfrowania SMB3 jest to skuteczne.
Szczegółowe wyjaśnienia dotyczące szyfrowania są dostępne w załączonym dokumencie "PowerScale Design and Considerations for SMB". 

Jeśli administratorzy chcą uniknąć odrzucania połączeń SMB2, gdy szyfrowanie SMB3 jest włączone, mogą zmodyfikować atrybut "Odrzuć dostęp nieszyfrowany" na "nie" (wyłączony). Umożliwia to połączenia SMB2, podczas gdy połączenia SMB3 są szyfrowane zgodnie z ustawieniami. To ustawienie można również ustawić globalnie lub na poziomie określonej strefy lub dla określonego udziału.

Jeśli "wymagamy" szyfrowania, ustawiając (globalnie lub w strefie dostępu) oba ustawienia na "Tak", jak poniżej:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

Ustawienie udostępniania "Smb3 Encryption Enabled " jest domyślnie ustawione na "Yes", co oznacza, że szyfrowanie jest włączone we wszystkich udziałach, niezależnie od tego ustawienia na poziomie udziału. Krótko mówiąc, "jeśli potrzebujemy szyfrowania, włączamy je również niejawnie".

Zaleca się przetestowanie tej funkcji na wyznaczonym udziale testowym przed wdrożeniem jej globalnie lub na poziomie określonej strefy.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfPatrz strona 36.

PowerScale: Centrum

informacji o aktualizacjach OneFSDodatkowe informacje od firmy Microsoft:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/