PowerScale: OneFS: Sådan aktiveres eller deaktiveres SMB1 på en klynge

Af sikkerhedshensyn anbefaler Dell Technologies ikke at aktivere SMBv1-protokoldialekten i OneFS. Overvej at skifte væk fra denne protokol for at sikre kompatibilitet på lang sigt.

Bemærk: SMBv1 understøttes ikke længere af Microsoft. Microsoft anbefaler, at arbejdsprocesser, der bruger SMBv1-dialekt, overføres til at bruge SMBv2 eller nyere. Nyere understøttede versioner af SMB-dialekten er designet til bedre sikkerhed og ydeevne. Se dette link for at få yderligere oplysninger om, hvorfor du skal bevæge dig væk fra SMBv1-dialekt i arbejdsprocesser. Det anbefales ikke at bruge SMBv1 i situationer, hvor højere versioner af dialekten er tilgængelige til brug.

For at kontrollere, om understøttelse af SMB1-protokollen er aktiveret eller deaktiveret, skal du oprette en SSH-forbindelse til en node og derefter køre følgende kommando:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Hvis den rapporterede værdi er et nul, deaktiveres den. Hvis den rapporterede værdi er én, er den aktiveret.
 

Sådan deaktiveres understøttelse af SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

Sådan aktiveres understøttelse af SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Der kræves en opdatering (eller genstart) af SRV-tjenesten på klyngen for at implementere ændringer for SMBv1-understøttelse.

Deaktivering af understøttelse af SMB1-protokollen forhindrer, at der oprettes nye SMB1-forbindelser. Eksisterende SMB1-forbindelser afbrydes ikke, selv efter deaktivering af funktionen.

Advarsel:
Genstart af SRV-tjenesten på en node kan medføre, at alle SMB-forbindelser til noden afbrydes. Hvis SMB-klientforbindelserne ikke failover til en anden node, skal klienterne genoprette forbindelsen til klyngen. Hvis LWIO genstartes, afsluttes alle SMB-forbindelser , og klientgenetablering af forbindelser er påkrævet.

En tvungen opdatering af SRV kan udføres på en enkelt node ved at oprette forbindelse via SSH og gøre følgende:

/usr/likewise/bin/lwsm refresh srv

I sjældne tilfælde er det nødvendigt at genstarte SRV-tjenesten. Gør følgende:

/usr/likewise/bin/lwsm restart srv

Administratorer kan bruge "isi_for_array -sX" før kommandoerne til at opdatere eller genstarte SRV på tværs af klyngen. Sørg for, at den indlejrede kommando er indeholdt i anførselstegn. Selvom opdateringen af SRV ikke har indflydelse, kan en genstart af den være det. Planlæg disse handlinger i et vedligeholdelsesvindue for at afbøde afbrydelser for klienter. Hvis administratorer bemærker problemer med disse handlinger, anbefales det, at de kontakter Support for at få yderligere hjælp.

Fra og med OneFS 9.6 er SMBv1-protokollen deaktiveret som standard. Microsoft har afsluttet support til protokollen, og der er adskillige sikkerhedsproblemer med den, der er blevet behandlet i nyere dialekter. En klynge, der bruger SMBv1, oplever en afbrydelse af deres arbejdsgang efter opgradering som følge heraf. Administratorer kan undgå dette ved manuelt at aktivere SMBv1 i stedet for udelukkende at stole på den ældre standardkonfiguration. Indstilling af SMBv1 til aktiveret markerer indstillingen som "ikke nedarvet fra standardindstillinger", hvilket sikrer, at der ikke foretages ændringer i den del af konfigurationen efter opgraderingen.

For at sikre, at værdien aktiveres manuelt i OneFS 9.5 og tidligere, skal du følge de tidligere trin for at aktivere SMBv1 manuelt via gconfig. Administratorer bør gøre dette i et vedligeholdelsesvindue for at minimere afbrydelser af SMBv1-klienter. Kommandoen til at aktivere SMBv1 med gconfig i OneFS 9.5 og tidligere er nedenfor:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Husk at validere, at værdien rapporterer værdien 1 tilbage. Administratorer kan deaktivere og derefter aktivere understøttelse af SMBv1 for at bekræfte, at værdiændringerne træder i kraft. Hvis der er planer om at bruge SMBv1 før opgraderingen, efter den er aktiveret, kræves en SRV-opdatering eller genstart på alle noder. Dette har betydning for klienter, der bruger SMB-protokollen, uanset hvilken dialekt der bruges.

Hvis administratorer glemmer udtrykkeligt at aktivere SMBv1 på klyngekonfigurationen før opgraderingen, sikrer opgraderingen, at den er indstillet til deaktiveret. Brug kommandoen nedenfor efter opgradering for at genaktivere understøttelse af SMBv1.

isi smb settings global modify --support-smb1=true

Dette kan kræve en tvungen opdatering/genstart af tjenesterne, for at ændringerne kan træde i kraft. Vi anbefaler, at alle væsentlige ændringer af klyngekonfigurationen foretages i løbet af et vedligeholdelsesvindue for at minimere påvirkningen. Administratorer bør begynde at planlægge den fulde udfasning af SMBv1 i deres miljø, hvis de ikke allerede har gjort det.