PowerScale: Slik deaktiverer/aktiverer du SMB-kryptering sammen med annen informasjon i SMB2/SMB3-versjoner

Vi kan kjøre kommandoen nedenfor fra en node, og den viser hvilken versjon av SMB-protokollen klientene bruker. Dette er mens de er koblet til den noden.

# isi smb sessions list --verbose --format=table

Slik aktiverer du SMB3-kryptering i en klynge:

SMB3-kryptering er deaktivert som standard. For å aktivere SMB3-kryptering, og tillate både krypterte og ukrypterte klienter tilgang til serveren:

1. Gå til Protokoller Windows-delingsserverinnstillinger
> (SMB). >2. I Kryptering-delen, under Aktiver kryptering på krypteringskompatible SMB-klienter, velger du Bruk egendefinert.
3. Merk av for Aktiver kryptering på krypteringskompatible SMB-klienter.

Både krypterte og ukrypterte klienter har tilgang.

Det finnes ingen innstillinger i PowerScale OneFS for å tillate bare SMB3-klienter og nekte SMB2-klienttilkoblinger. Men med 'Avvis ukryptert tilgang' kobles ikke SMB2 til som forklart nedenfor.
Som vi kan se eksemplet nedenfor, er 'Avvis ukryptert tilgang' aktivert som standard. Dette betyr at hvis det vises ukryptert trafikk (KUN når SMB3-kryptering er aktivert), avviser den både SMB2- og SMB1-trafikken.

Kommando for å kontrollere SMB-innstillinger globalt:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Siden SMB3-kryptering er deaktivert som standard, alternativet ' Avvis ukryptert tilgang: Ja ' er ikke effektiv. Når SMB3-kryptering er aktivert, er det effektivt.
Den detaljerte forklaringen om kryptering er tilgjengelig i dokumentet "PowerScale Design and Considerations for SMB" som vedlagt. 

Hvis administratorer vil unngå at SMB2-tilkoblinger blir avvist når SMB3-kryptering er aktivert, kan de endre attributtet 'Avvis ukryptert tilgang' til "nei" (deaktivert). Dette tillater SMB2-tilkoblinger mens SMB3-tilkoblinger krypteres i henhold til innstillingene. Denne innstillingen kan også angis globalt eller på et bestemt sonenivå eller for en bestemt deling.

Hvis vi "krever" kryptering ved å sette (globalt eller på en tilgangssone) begge innstillingene til ' Ja ' som nedenfor:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

Delingsinnstillingen ' Smb3 Encryption Enabled ' er implisitt satt til ' Ja ', det vil si at kryptering er aktivert på alle delte ressurser, uavhengig av innstillingen på delingsnivå. Kort sagt, "hvis vi krever kryptering, aktiverer vi det implisitt."

Det anbefales at dette testes på en bestemt testandel før den implementeres globalt eller på et bestemt sonenivå.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfSe side 36.

PowerScale: Informasjonshub

for OneFS-oppgraderingerTilleggsinformasjon fra Microsoft:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/