PowerScale: OneFS: Slik aktiverer eller deaktiverer du SMB1 på en klynge

Av sikkerhetshensyn anbefaler ikke Dell Technologies å aktivere SMBv1-protokolldialekten i OneFS. For å sikre langsiktig kompatibilitet bør du vurdere å gå bort fra denne protokollen.

Merk: SMBv1 støttes ikke lenger av Microsoft. Microsoft anbefaler at arbeidsflyter som bruker SMBv1-dialekt, overføres til SMBv2 eller nyere. Nyere støttede versjoner av SMB-dialekten er utformet for bedre sikkerhet og ytelse. Se denne koblingen for mer informasjon om hvorfor du bør gå bort fra SMBv1-dialekt i arbeidsflyter. Det anbefales ikke å bruke SMBv1 i situasjoner der høyere versjoner av dialekten er tilgjengelige for bruk.

Hvis du vil kontrollere om støtte for SMB1-protokollen er aktivert eller deaktivert, oppretter du en SSH-tilkobling til en node og kjører deretter følgende kommando:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Hvis den rapporterte verdien er null, deaktiveres den. Hvis den rapporterte verdien er én, er den aktivert.
 

Slik deaktiverer du støtte for SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

Slik aktiverer du støtte for SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

En oppdatering (eller omstart) av SRV-tjenesten på klyngen er nødvendig for å implementere endringer for SMBv1-støtte.

Deaktivering av støtte for SMB1-protokollen forhindrer at nye SMB1-tilkoblinger blir opprettet. Eksisterende SMB1-tilkoblinger kobles ikke fra selv etter deaktivering av funksjonen.

Advarsel:
Hvis du starter SRV-tjenesten på en node på nytt, kan det føre til at alle SMB-tilkoblinger til noden kobles fra. Hvis SMB-klienttilkoblingene ikke mislykkes over til en annen node, må klientene gjenopprette en tilkobling til klyngen. Hvis LWIO startes på nytt, avsluttes alle SMB-tilkoblinger og klientgjenopprettelse av tilkoblinger kreves.

En tvungen oppdatering av SRV kan utføres på en enkelt node ved å koble til over SSH og gjøre følgende:

/usr/likewise/bin/lwsm refresh srv

I sjeldne tilfeller er det nødvendig å starte SRV-tjenesten på nytt. Gjør følgende:

/usr/likewise/bin/lwsm restart srv

Administratorer kan bruke "isi_for_array -sX" før kommandoene for å oppdatere eller starte SRV på nytt på tvers av klyngen. Kontroller at den nestede kommandoen står i anførselstegn. Selv om oppdateringen av SRV ikke er virkningsfull, kan det være å starte den på nytt. Planlegg disse handlingene i et vedlikeholdsvindu for å redusere avbrudd for klienter. Hvis administratorer oppdager problemer med disse handlingene, anbefales det at de engasjerer kundestøtte for ytterligere hjelp.

Fra og med OneFS 9.6 er SMBv1-protokollen deaktivert som standard. Microsoft har avsluttet støtten for protokollen, og det er mange sikkerhetsproblemer med den som har blitt adressert i nyere dialekter. En klynge som bruker SMBv1, opplever et avbrudd i arbeidsflyten etter oppgraderingen som et resultat. Administratorer kan unngå dette ved å aktivere SMBv1 manuelt i stedet for å stole strengt på den eldre standardkonfigurasjonen. Når du setter SMBv1 til aktivert, markeres innstillingen som "ikke arvet fra standardinnstillingene", og sikrer ingen endringer i den delen av konfigurasjonen etter oppgraderingen.

For å sikre at verdien er manuelt aktivert i OneFS 9.5 og eldre, følger du de tidligere trinnene for å aktivere SMBv1 manuelt via gconfig. Administratorer bør gjøre dette i et vedlikeholdsvindu for å minimere avbrudd for SMBv1-klienter. Kommandoen for å aktivere SMBv1 med gconfig i OneFS 9.5 og tidligere er nedenfor:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Husk å validere at verdien rapporterer verdien 1 tilbake. Administratorer kan deaktivere og deretter aktivere støtte for SMBv1 for å bekrefte at verdiendringene trer i kraft. Hvis det er planer om å bruke SMBv1 før oppgraderingen etter at den er aktivert, kreves en SRV-oppdatering eller omstart på alle noder. Dette er virkningsfullt for klienter som bruker SMB-protokoll uavhengig av hvilken dialekt som brukes.

Hvis administratorer glemmer å eksplisitt aktivere SMBv1 på klyngekonfigurasjonen før oppgraderingen, sikrer oppgraderingen at den er satt til deaktivert. Bruk kommandoen nedenfor etter oppgraderingen for å aktivere støtten for SMBv1 på nytt.

isi smb settings global modify --support-smb1=true

Dette kan kreve tvungen oppdatering/omstart av tjenestene for at disse endringene skal tre i kraft. Vi anbefaler at alle vesentlige endringer i klyngekonfigurasjonen utføres i løpet av et vedlikeholdsvindu for å minimere innvirkningen. Administratorer bør begynne å planlegge fullstendig avvikling av SMBv1 i miljøet hvis de ikke allerede har gjort det.