PowerScale: Sådan deaktiveres/aktiveres SMB-kryptering sammen med andre oplysninger i SMB2/SMB3-versioner

Vi kan køre kommandoen nedenfor fra en node, og den viser, hvilken version af SMB-protokollen klienterne bruger. Dette er, mens de er forbundet til den knude.

# isi smb sessions list --verbose --format=table

Sådan aktiveres SMB3-kryptering i en klynge:

SMB3-kryptering er deaktiveret som standard. Sådan aktiveres SMB3-kryptering og giver både krypterede og ukrypterede klienter adgang til serveren:

1. Gå til Protokoller > for Windows-deling (SMB) >Serverindstillinger.
2. I afsnittet Kryptering under Aktivér kryptering på krypteringskompatible SMB-klienter skal du vælge Brug brugerdefineret.
3. Markér Aktivér kryptering på krypteringskompatible SMB-klienter.

Både krypterede og ukrypterede klienter har adgang.

Der er ingen indstillinger i PowerScale OneFS, der kun tillader SMB3-klienter og nægter SMB2-klientforbindelser. Men med 'Afvis ukrypteret adgang' opretter SMB2 ikke forbindelse som forklaret nedenfor.
Som vi kan se nedenstående eksempel, er 'Afvis ukrypteret adgang' aktiveret som standard. Det betyder, at hvis der ses ukrypteret trafik (KUN når SMB3-kryptering er aktiveret), afviser den både SMB2- og SMB1-trafikken.

Kommando til at kontrollere SMB-indstillinger globalt:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Da SMB3-kryptering er deaktiveret som standard, er indstillingen ' Afvis ukrypteret adgang: Ja ' er ikke effektiv. Når SMB3-krypteringen er aktiveret, er det effektivt.
Den detaljerede forklaring om kryptering findes i dokumentet "PowerScale Design and Considerations for SMB", som er vedhæftet. 

Hvis administratorer vil undgå, at SMB2-forbindelser afvises, når SMB3-kryptering er aktiveret, kan de ændre attributten 'Afvis ukrypteret adgang' til "no" (deaktiveret). Dette tillader SMB2-forbindelser, mens SMB3-forbindelser er krypteret i henhold til indstillingerne. Denne indstilling kan også indstilles globalt eller på et bestemt zoneniveau eller for en bestemt deling.

Hvis vi "kræver" kryptering ved at indstille (globalt eller i en adgangszone) begge indstillinger til 'Ja' som nedenfor:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

Delingsindstillingen "Smb3-kryptering aktiveret " er implicit indstillet til "Ja", dvs. kryptering er aktiveret på alle shares, uanset denne indstilling på shareniveau. Kort sagt, "hvis vi har brug for kryptering, aktiverer vi det også implicit."

Det anbefales, at dette testes på en udpeget testdeling, inden det implementeres globalt eller på et specifikt zoneniveau.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfSe side 36.

PowerScale: Informationshub

for OneFS-opgraderingerYderligere oplysninger fra Microsoft:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/