PowerScale. Как отключить/включить шифрование SMB, а также другую информацию в версиях SMB2/SMB3

Мы можем выполнить следующую команду с узла, и она покажет, какую версию протокола SMB используют клиенты. Это происходит, пока они подключены к этому узлу.

# isi smb sessions list --verbose --format=table

Как включить шифрование SMB3 в кластере.

По умолчанию шифрование SMB3 отключено. Чтобы включить шифрование SMB3 и разрешить доступ к серверу

как зашифрованным, так и незашифрованным клиентам, выполните команду: 1. Перейдите в раздел Протоколы > Windows Sharing (SMB) >Server Settings.
2. В разделе Шифрование в разделе Шифрование в разделе Включить шифрование на клиентах SMB с поддержкой шифрования выберите Использовать настраиваемое.
3. Установите флажок Включить шифрование на клиентах SMB с поддержкой шифрования.

Доступ разрешен как зашифрованным, так и незашифрованным клиентам.

В PowerScale OneFS нет параметров, позволяющих разрешать только клиентам SMB3 и запрещать клиентские подключения SMB2. Однако при выборе параметра «Reject Unencrypted Access» SMB2 не подключается, как описано ниже.
Как видно из приведенного ниже примера, по умолчанию включен параметр «Отклонить незашифрованный доступ». Это означает, что при обнаружении незашифрованного трафика (ТОЛЬКО если включено шифрование SMB3) трафик отклоняется как по протоколу SMB2, так и по протоколу SMB1.

Команда для глобальной проверки параметров SMB:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Поскольку шифрование SMB3 отключено по умолчанию, параметр « Отклонить незашифрованный доступ: Yes ' не эффективна. Если шифрование SMB3 включено, оно вступает в силу.
Подробное описание шифрования доступно в прилагаемом документе «Проектирование PowerScale и рекомендации для SMB». 

Если администраторы хотят, чтобы подключения SMB2 не отклонялись при включенном шифровании SMB3, они могут изменить атрибут «Отклонить незашифрованный доступ» на «no» (отключено). Это позволяет использовать соединения SMB2, а соединения SMB3 шифруются в соответствии с настройками. Этот параметр также можно задать глобально, на уровне определенной зоны или для определенной сетевой папки.

Если мы "требуем" шифрование, установив (глобально или в зоне доступа) оба параметра на ' Yes' , как показано ниже:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

Для параметра общего ресурса « Smb3 Encryption Enabled » неявно установлено значение « Yes», то есть шифрование включено для всех общих ресурсов, независимо от параметра на уровне общего ресурса. Короче говоря, «если нам требуется шифрование, мы также неявно включаем его».

Рекомендуется протестировать этот подход на определенном тестовом общем ресурсе, прежде чем внедрять его на глобальном уровне или на уровне определенной зоны.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfСмотрите страницу 36.

PowerScale: Модернизация OneFS — информационный центр

Дополнительная информация от Microsoft:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/