PowerScale: Como desativar/ativar a criptografia SMB junto com outras informações nas versões do SMB2/SMB3

Podemos executar o comando abaixo a partir de um nó e ele mostra qual versão do protocolo SMB os clients estão usando. Isso ocorre enquanto eles estão conectados a esse nó.

# isi smb sessions list --verbose --format=table

Como habilitar a criptografia SMB3 em um cluster:

Por padrão, a criptografia SMB3 está desativada. Para habilitar a criptografia SMB3 e permitir que os clients criptografados e não criptografados acessem o servidor:

1. Acesse Protocols > Windows Sharing (SMB) >Server Settings.
2. Na seção Criptografia, em Habilitar criptografia em clients SMB compatíveis com criptografia, selecione Usar personalizado.
3. Marque Enable encryption on encryption-able SMB clients.

Os clients criptografados e não criptografados têm permissão de acesso.

Não há configurações no PowerScale OneFS para permitir apenas clients SMB3 e negar conexões de clients SMB2. No entanto, com "Rejeitar acesso não criptografado", o SMB2 não se conecta conforme explicado abaixo.
Como podemos ver no exemplo abaixo, por padrão, a opção "Reject Unencrypted Access" está ativada. Isso significa que, se houver algum tráfego não criptografado exibido (SOMENTE quando a criptografia SMB3 estiver habilitada), ele rejeitará o tráfego SMB2 e SMB1.

Comando para verificar globalmente as configurações do SMB:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Como a criptografia SMB3 está desativada por padrão, a opção ' Reject Unencrypted Access: Sim' não é eficaz. Depois que a criptografia SMB3 estiver ativada, isso entrará em vigor.
A explicação detalhada sobre criptografia está disponível no documento "Projeto e considerações do PowerScale para SMB", conforme anexo. 

Se os administradores quiserem evitar que as conexões SMB2 sejam rejeitadas quando a criptografia SMB3 estiver habilitada, eles poderão modificar o atributo "Reject Unencrypted Access" para "no" (desativado). Isso permite conexões SMB2 enquanto as conexões SMB3 são criptografadas de acordo com as configurações. Essa configuração também pode ser definida globalmente ou em um nível de zona específico ou para um compartilhamento específico.

Se "exigirmos" criptografia definindo (globalmente ou em uma zona de acesso) ambas as configurações para " Sim " como abaixo:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

A configuração de compartilhamento ' Smb3 Encryption Enabled ' é implicitamente definida como ' Yes ', ou seja, a criptografia é habilitada em todos os compartilhamentos, independentemente dessa configuração no nível do compartilhamento. Resumindo, "se precisarmos de criptografia, também a ativaremos implicitamente".

É recomendável que isso seja testado em um compartilhamento de teste designado antes de implementá-lo globalmente ou em um nível de zona específico.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfConsulte a página 36.

PowerScale: Hub de informações de upgrades do OneFS

Informações adicionais da Microsoft:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/