PowerScale: OneFS: SMB1 in- of uitschakelen op een cluster

Om veiligheidsredenen raadt Dell Technologies af om het SMBv1-protocoldialect in OneFS in te schakelen. Om compatibiliteit op lange termijn te garanderen, kunt u overwegen af te stappen van dit protocol.

Opmerking: SMBv1 wordt niet langer ondersteund door Microsoft. Microsoft raadt aan dat workflows die SMBv1-dialect gebruiken, worden gemigreerd naar SMBv2 of hoger. Nieuwere ondersteunde versies van het SMB-dialect zijn ontworpen voor betere beveiliging en prestaties. Zie deze koppeling voor meer informatie over waarom u moet afstappen van het SMBv1-dialect in workflows. Het wordt niet aanbevolen om SMBv1 te gebruiken in situaties waarin hogere versies van het dialect beschikbaar zijn voor gebruik.

Om te controleren of ondersteuning voor het SMB1-protocol is in- of uitgeschakeld, brengt u een SSH-verbinding tot stand met een knooppunt en voert u de volgende opdracht uit:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Als de gerapporteerde waarde een nul is, is deze uitgeschakeld. Als de gerapporteerde waarde één is, is deze ingeschakeld.
 

U kunt de ondersteuning van SMBv1 als volgt uitschakelen:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

U kunt ondersteuning van SMBv1 als volgt inschakelen:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Een vernieuwing (of herstart) van de SRV-service op het cluster is vereist om wijzigingen voor SMBv1-ondersteuning te implementeren.

Als u ondersteuning voor het SMB1-protocol uitschakelt, kunnen er geen nieuwe SMB1-verbindingen tot stand worden gebracht. Bestaande SMB1-verbindingen worden niet verbroken, zelfs niet nadat de functie is uitgeschakeld.

Waarschuwing:
Het opnieuw starten van de SRV-service op een knooppunt kan ertoe leiden dat alle SMB-verbindingen met het knooppunt worden verbroken. Als de SMB-clientverbindingen niet failovergaan naar een ander knooppunt, moeten de clients opnieuw een verbinding met het cluster tot stand brengen. Als LWIO opnieuw wordt gestart, worden alle SMB-verbindingen verbroken en moet de client opnieuw verbinding maken.

Een geforceerde vernieuwing van SRV kan worden gedaan op één knooppunt door verbinding te maken via SSH en het volgende te doen:

/usr/likewise/bin/lwsm refresh srv

In zeldzame gevallen is een herstart van de SRV-service vereist. Voer één van de volgende handelingen uit:

/usr/likewise/bin/lwsm restart srv

Beheerders kunnen "isi_for_array -sX" gebruiken vóór de opdrachten om SRV in het hele cluster te vernieuwen of opnieuw te starten. Zorg ervoor dat de geneste opdracht tussen aanhalingstekens staat. Hoewel het vernieuwen van SRV geen gevolgen heeft, kan het opnieuw opstarten dat wel zijn. Plan deze acties in een onderhoudsvenster om verstoring voor klanten te beperken. Als beheerders problemen met deze acties constateren, wordt ze aangeraden contact op te nemen met Support voor verdere hulp.

Vanaf OneFS 9.6 is het SMBv1-protocol standaard uitgeschakeld. Microsoft heeft de ondersteuning voor het protocol beëindigd en er zijn tal van beveiligingsproblemen die in nieuwere dialecten zijn aangepakt. Een cluster dat SMBv1 gebruikt, ziet daardoor een verstoring van de workflow na de upgrade. Beheerders kunnen dit voorkomen door SMBv1 handmatig in te schakelen in plaats van strikt te vertrouwen op de oudere standaardconfiguratie. Als u SMBv1 instelt op ingeschakeld, wordt de instelling gemarkeerd als 'niet overgenomen van standaardinstellingen', zodat er na de upgrade geen wijzigingen in dat deel van de configuratie worden aangebracht.

Om ervoor te zorgen dat de waarde handmatig is ingeschakeld in OneFS 9.5 en eerder, volgt u de eerdere stappen om SMBv1 handmatig in te schakelen via de gconfig. Beheerders moeten dit doen in een onderhoudsvenster om verstoring van SMBv1-clients tot een minimum te beperken. De opdracht om SMBv1 in te schakelen met de gconfig in OneFS 9.5 en eerder staat hieronder:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Vergeet niet te valideren dat de waarde de waarde 1 teruggeeft. Beheerders kunnen ondersteuning voor SMBv1 uitschakelen en vervolgens inschakelen om te bevestigen dat de waardewijzigingen van kracht worden. Als er plannen zijn om SMBv1 te gebruiken voordat de upgrade is ingeschakeld nadat deze is ingeschakeld, is SRV vernieuwen of opnieuw opstarten vereist op alle knooppunten. Dit is van invloed op clients die het SMB-protocol gebruiken, ongeacht welk dialect wordt gebruikt.

Als beheerders vergeten SMBv1 expliciet in te schakelen op de clusterconfiguratie voorafgaand aan de upgrade, zorgt de upgrade ervoor dat deze is uitgeschakeld. Gebruik de onderstaande opdracht postupgrade om ondersteuning van SMBv1 opnieuw in te schakelen.

isi smb settings global modify --support-smb1=true

Hiervoor kan een geforceerde vernieuwing/herstart van services nodig zijn om deze wijzigingen van kracht te laten worden. We raden aan om belangrijke wijzigingen in de clusterconfiguratie uit te voeren tijdens een onderhoudsvenster om de impact te minimaliseren. Beheerders moeten beginnen met het plannen van de volledige afschaffing van SMBv1 in hun omgeving als ze dat nog niet hebben gedaan.