PowerScale: OneFS: Bir Kümede SMB1'i etkinleştirme veya devre dışı bırakma

Güvenlik endişeleri nedeniyle Dell Technologies, OneFS'de SMBv1 protokol lehçesini etkinleştirmeyi önermez. Uzun süreli uyumluluk sağlamak için bu protokolden uzaklaşmayı göz önünde bulundurun.

Not: SMBv1 artık Microsoft tarafından desteklenmemektedir. Microsoft, SMBv1 lehçesini kullanan iş akışlarının SMBv2 veya sonraki bir sürümü kullanacak şekilde geçirilmesini önerir. SMB lehçesinin desteklenen daha yeni sürümleri, daha iyi güvenlik ve performans için tasarlanmıştır. İş akışlarında SMBv1 lehçesinden neden uzaklaşmanız gerektiği hakkında ek bilgi için bu bağlantıya bakın. Lehçenin daha yüksek sürümlerinin kullanılabilir olduğu durumlarda SMBv1'in kullanılması önerilmez.

SMB1 protokolü desteğinin etkin mi yoksa devre dışı mı olduğunu doğrulamak için bir düğüme SSH bağlantısı kurun ve ardından aşağıdaki komutu çalıştırın:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Bildirilen değer sıfırsa, devre dışı bırakılır. Bildirilen değer bir ise, bu değer etkindir.
 

SMBv1 desteğini devre dışı bırakmak için:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

SMBv1 desteğini etkinleştirmek için:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

SMBv1 desteklenebilirliğine yönelik değişiklikleri uygulamak için kümedeki SRV hizmetinin yenilenmesi (veya yeniden başlatılması) gerekir.

SMB1 protokolü desteğini devre dışı bırakmak, yeni SMB1 bağlantılarının kurulmasını engeller. Özellik devre dışı bırakıldıktan sonra bile mevcut SMB1 bağlantılarının bağlantısı kesilmiyor.

Uyarı:
Bir düğümde SRV hizmetini yeniden başlatmak, düğüme yapılan tüm SMB bağlantılarının kesilmesine neden olabilir. SMB istemci bağlantıları başka bir düğüme yük devretmezse istemcilerin kümeyle yeniden bağlantı kurması gerekir. LWIO yeniden başlatılırsa tüm SMB bağlantıları sonlandırılır ve bağlantıların istemci tarafından yeniden kurulması gerekir.

SRV'nin zorunlu yenilemesi, SSH üzerinden bağlanıp aşağıdakiler yapılarak tek bir düğümde yapılabilir:

/usr/likewise/bin/lwsm refresh srv

Nadir durumlarda, SRV hizmetinin yeniden başlatılması gerekir. Aşağıdakileri yapın:

/usr/likewise/bin/lwsm restart srv

Yöneticiler, küme genelinde SRV'yi yenilemek veya yeniden başlatmak için komutlardan önce "isi_for_array -sX" kullanabilir. İç içe geçmiş komutun tırnak içinde yer aldığından emin olun. SRV'nin yenilenmesi etkili olmasa da yeniden başlatma etkili olabilir. İstemcilerde kesintiyi azaltmak için bu eylemleri bir bakım penceresinde planlayın. Yöneticiler bu eylemlerle ilgili herhangi bir sorun fark ederse daha fazla yardım almak için Destek ekibi ile iletişime geçmeleri önerilir.

OneFS 9.6'dan itibaren SMBv1 protokolü varsayılan olarak devre dışıdır. Microsoft, protokol desteğini sona erdirdi ve daha yeni lehçelerde ele alınan çok sayıda güvenlik endişesi var. Bunun sonucunda, SMBv1 kullanan bir kümenin yükseltme sonrası iş akışında bir kesinti meydana gelir. Yöneticiler, eski varsayılan yapılandırmaya sıkı sıkıya güvenmek yerine SMBv1'i manuel olarak etkinleştirerek bunu önleyebilir. SMBv1'in etkin olarak ayarlanması, ayarı "varsayılanlardan devralınmamış" olarak işaretler ve yükseltme sonrasında yapılandırmanın bu kısmında herhangi bir değişiklik yapılmamasını sağlar.

Değerin OneFS 9.5 ve önceki sürümlerde manuel olarak etkinleştirildiğinden emin olmak için önceki adımları izleyerek SMBv1'i gconfig üzerinden manuel olarak etkinleştirin. Yöneticiler, SMBv1 istemcilerinde kesintiyi en aza indirmek için bunu bir bakım penceresinde yapmalıdır. OneFS 9.5 ve önceki sürümlerde gconfig ile SMBv1'i etkinleştirme komutu aşağıdaki gibidir:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Değerin 1 değerini geri bildirdiğini doğrulamayı unutmayın. Yöneticiler, değer değişikliklerinin geçerli olduğunu onaylamak için SMBv1 desteğini devre dışı bırakıp etkinleştirebilir. SMBv1'i etkinleştirmenin ardından yükseltmeden önce kullanma planları varsa tüm düğümlerde SRV yenilemesi veya yeniden başlatma gerekir. Bu, hangi lehçenin kullanıldığından bağımsız olarak SMB protokolünü kullanan istemciler için etkilidir.

Yöneticiler yükseltmeden önce küme yapılandırmasında SMBv1'i açıkça etkinleştirmeyi unutursa yükseltme, devre dışı olarak ayarlandığından emin olur. SMBv1 desteğini yeniden etkinleştirmek için yükseltme sonrasında aşağıdaki komutu kullanın.

isi smb settings global modify --support-smb1=true

Bu, değişikliklerin etkili olması için hizmetlerin zorunlu olarak yenilenmesini/yeniden başlatılmasını gerektirebilir. Küme yapılandırmasında yapılan tüm önemli değişikliklerin, etkiyi en aza indirmek için bakım penceresi sırasında yapılmasını öneririz. Yöneticiler, henüz yapmadılarsa ortamlarında SMBv1'in tamamen kullanımdan kaldırılmasını planlamaya başlamalıdır.