PowerScale: Så här inaktiverar/aktiverar du SMB-kryptering tillsammans med annan information i SMB2/SMB3-versioner

Vi kan köra kommandot nedan från en nod och det visar vilken version av SMB-protokollet klienterna använder. Detta är när de är anslutna till den noden.

# isi smb sessions list --verbose --format=table

Så här aktiverar du SMB3-kryptering i ett kluster:

Som standard är SMB3-kryptering inaktiverat. Så här aktiverar du SMB3-kryptering och tillåter både krypterade och okrypterade klienter åtkomst till servern:

1. Gå till Serverinställningar
> för Windows-delning (SMB). >2. I avsnittet Kryptering går du till Aktivera kryptering på SMB-klienter med krypteringsförmåga och väljer Använd anpassad.
3. Markera Aktivera kryptering på SMB-klienter med krypteringsförmåga.

Både krypterade och okrypterade klienter har åtkomst.

Det finns inga inställningar i PowerScale OneFS för att endast tillåta SMB3-klienter och neka SMB2-klientanslutningar. Men med "Avvisa okrypterad åtkomst" ansluter inte SMB2 enligt beskrivningen nedan.
Som vi kan se i exemplet nedan är "Avvisa okrypterad åtkomst" aktiverat som standard. Det innebär att om det finns någon okrypterad trafik som visas (ENDAST när SMB3-kryptering är aktiverad) avvisar den både SMB2- och SMB1-trafiken.

Kommando för att kontrollera SMB-inställningar globalt:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Eftersom SMB3-kryptering är inaktiverat som standard visas alternativet ' Avvisa okrypterad åtkomst: Ja " är inte effektivt. När SMB3-krypteringen är aktiverad är det effektivt.
En detaljerad förklaring av kryptering finns i det bifogade dokumentet PowerScale Design and Considerations for SMB. 

Om administratörer vill undvika att SMB2-anslutningar avvisas när SMB3-kryptering är aktiverat kan de ändra attributet "Avvisa okrypterad åtkomst" till "nej" (inaktiverat). Detta tillåter SMB2-anslutningar medan SMB3-anslutningar krypteras enligt inställningarna. Denna inställning kan också ställas in globalt eller på en specifik zonnivå eller för en viss delning.

Om vi "kräver" kryptering genom att ställa in (globalt eller på en åtkomstzon) båda inställningarna till "Ja" som nedan:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

Resursinställningen " Smb3 Encryption Enabled " är implicit inställd på " Ja ", det vill säga kryptering är aktiverad på alla resurser, oavsett inställningen på resursnivå. Kort sagt, "om vi behöver kryptering, aktiverar vi det också implicit."

Vi rekommenderar att detta testas på en utvald testresurs innan det implementeras globalt eller på en specifik zonnivå.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfSe sidan 36.

PowerScale: Informationshubb

för OneFS-uppgraderingarYtterligare information från Microsoft:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/