PowerScale: OneFS: Cómo habilitar o deshabilitar SMB1 en un clúster

Por motivos de seguridad, Dell Technologies no recomienda habilitar el dialecto del protocolo SMBv1 en OneFS. Para garantizar la compatibilidad a largo plazo, considere la posibilidad de abandonar este protocolo.

Nota: SMBv1 ya no es compatible con Microsoft. Microsoft recomienda migrar los flujos de trabajo que utilizan el dialecto de SMBv1 para utilizar SMBv2 o versiones posteriores. Las versiones compatibles más recientes del dialecto SMB están diseñadas para mejorar la seguridad y el rendimiento. Consulte este enlace para obtener información adicional sobre por qué debe alejarse del dialecto SMBv1 en los flujos de trabajo. No se recomienda usar SMBv1 en situaciones en las que hay versiones superiores del dialecto disponibles para su uso.

Para verificar si la compatibilidad con el protocolo SMB1 está habilitada o deshabilitada, establezca una conexión SSH a un nodo y, a continuación, ejecute el siguiente comando:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Si el valor informado es cero, se deshabilita. Si el valor informado es uno, se habilita.
 

Para deshabilitar la compatibilidad con SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

Para habilitar la compatibilidad con SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Se requiere una actualización (o reinicio) del servicio SRV en el clúster para implementar cambios en la soportabilidad de SMBv1.

La deshabilitación de la compatibilidad con el protocolo SMB1 impide que se establezcan nuevas conexiones SMB1. Las conexiones SMB1 existentes no se desconectan incluso después de deshabilitar la característica.

Advertencia:
El reinicio del servicio SRV en un nodo puede provocar la desconexión de todas las conexiones SMB al nodo. Si las conexiones del cliente SMB no conmutan por error a otro nodo, los clientes deben restablecer una conexión al clúster. Si se reinicia LWIO, se terminan todas las conexiones SMB y se requiere el restablecimiento de las conexiones por parte del cliente.

Se puede realizar una actualización forzada de SRV en un nodo único mediante una conexión a través de SSH y realizando lo siguiente:

/usr/likewise/bin/lwsm refresh srv

En raras ocasiones, es necesario reiniciar el servicio SRV. Haga lo siguiente:

/usr/likewise/bin/lwsm restart srv

Los administradores pueden utilizar "isi_for_array -sX" antes de los comandos para actualizar o reiniciar SRV en todo el clúster. Asegúrese de que el comando anidado esté entre comillas. Si bien la actualización de SRV no tiene ningún impacto, su reinicio podría serlo. Planifique estas acciones en una ventana de mantenimiento para mitigar las interrupciones a los clientes. Si los administradores observan algún problema con estas acciones, se recomienda que se comuniquen con el soporte para obtener más ayuda.

A partir de OneFS 9.6, el protocolo SMBv1 está deshabilitado de manera predeterminada. Microsoft ha finalizado el soporte para el protocolo y existen numerosos problemas de seguridad que se han abordado en dialectos más nuevos. Como resultado, un clúster que utiliza SMBv1 experimenta una interrupción en su flujo de trabajo después de la actualización. Los administradores pueden evitar esto mediante la habilitación manual de SMBv1 en lugar de confiar estrictamente en la configuración predeterminada anterior. Configurar SMBv1 en habilitado marca el ajuste como "no heredado de los valores predeterminados", lo que garantiza que no haya cambios en esa parte de la configuración después de la actualización.

Para asegurarse de que el valor esté habilitado manualmente en OneFS 9.5 y versiones anteriores, siga los pasos anteriores para habilitar SMBv1 manualmente a través de gconfig. Los administradores deben hacer esto en una ventana de mantenimiento para minimizar la interrupción en los clientes SMBv1. El comando para habilitar SMBv1 con gconfig en OneFS 9.5 y versiones anteriores se muestra a continuación:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Recuerde validar que el valor informe el valor 1. Los administradores pueden deshabilitar y, a continuación, habilitar el soporte para SMBv1 a fin de confirmar que los cambios de valor surtan efecto. Si hay planes para usar SMBv1 antes de la actualización después de su habilitación, se requiere una actualización o un reinicio de SRV en todos los nodos. Esto tiene un impacto en los clientes que utilizan el protocolo SMB, independientemente del dialecto que se utilice.

Si los administradores olvidan habilitar explícitamente SMBv1 en la configuración del clúster antes de la actualización, la actualización garantiza que esté configurado en deshabilitado. Utilice el siguiente comando después de la actualización para volver a habilitar la compatibilidad con SMBv1.

isi smb settings global modify --support-smb1=true

Esto puede requerir una actualización/reinicio forzado de los servicios para que esos cambios surtan efecto. Se recomienda que cualquier cambio significativo en la configuración del clúster se realice durante una ventana de mantenimiento para minimizar el impacto. Los administradores deben comenzar a planear la descontinuación completa de SMBv1 en su entorno si aún no lo han hecho.