Шкала потужності: Як вимкнути/увімкнути шифрування SMB разом з іншою інформацією у версіях SMB2/SMB3

Ми можемо виконати наведену нижче команду з вузла, і вона показує, яку версію протоколу SMB використовують клієнти. Це при тому, що вони підключені до цього вузла.

# isi smb sessions list --verbose --format=table

Як увімкнути шифрування SMB3 у кластері:

За замовчуванням шифрування SMB3 вимкнено. Щоб увімкнути шифрування SMB3 і дозволити як зашифрованим, так і незашифрованим клієнтам доступ до сервера:

1. Перейдіть до налаштувань сервера Protocols > Windows Sharing (SMB). >
2. У розділі Шифрування в розділі Увімкнути шифрування на клієнтах SMB із підтримкою шифрування виберіть Використовувати власний.
3. Установіть прапорець Увімкнути шифрування на клієнтах SMB із підтримкою шифрування.

Доступ дозволено як зашифрованим, так і незашифрованим клієнтам.

У PowerScale OneFS немає налаштувань, які дозволяють лише клієнтам SMB3 і забороняють підключення клієнтів SMB2. Однак за допомогою функції «Відхилити незашифрований доступ» SMB2 не підключається, як описано нижче.
Як ми можемо бачити в наведеному нижче прикладі, за замовчуванням увімкнено функцію «Відхилити незашифрований доступ». Це означає, що якщо видно незашифрований трафік (ЛИШЕ коли ввімкнено шифрування SMB3), він відхиляє трафік SMB2 і SMB1.

Команда для глобальної перевірки налаштувань SMB:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Оскільки шифрування SMB3 вимкнено за замовчуванням, опція ' Відхилити незашифрований доступ: Так ' не ефективний. Як тільки шифрування SMB3 увімкнено, це починає діяти.
Детальне пояснення щодо шифрування доступне в документі «Дизайн і міркування щодо малого та середнього бізнесу PowerScale» у додатку. 

Якщо адміністратори хочуть уникнути відхилення з'єднань SMB2, коли ввімкнено шифрування SMB3, вони можуть змінити атрибут «Відхилити незашифрований доступ» на «ні» (вимкнено). Це дозволяє підключатися SMB2, тоді як з'єднання SMB3 шифруються відповідно до параметрів. Цей параметр також можна встановити глобально або на рівні певної зони, або для певної частки.

Якщо ми "вимагаємо" шифрування, встановивши (глобально або на зону доступу) обидва налаштування на 'Так', як показано нижче:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

Для параметра спільного ресурсу ' Smb3 Encryption Enabled ' неявним чином встановлено значення 'Yes ', тобто шифрування включено для всіх спільних ресурсів, незалежно від цього параметра на рівні спільного ресурсу. Коротше кажучи, «якщо нам потрібне шифрування, ми також беззастережно включаємо його».

Рекомендується, щоб це було протестовано на спеціальній тестовій частці, перш ніж впроваджувати її глобально або на рівні конкретної зони.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfДивіться сторінку 36.

Шкала потужності: OneFS оновлює інформаційний центр

Додаткова інформація від Microsoft:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/