PowerScale: SMB-versleuteling samen met andere informatie in- of uitschakelen in SMB2/SMB3-versies

We kunnen de onderstaande opdracht uitvoeren vanaf een knooppunt en het laat zien welke versie van het SMB-protocol de clients gebruiken. Dit is terwijl ze zijn verbonden met dat knooppunt.

# isi smb sessions list --verbose --format=table

SMB3-versleuteling inschakelen in een cluster:

SMB3-versleuteling is standaard uitgeschakeld. Om SMB3-versleuteling in te schakelen en zowel versleutelde als niet-versleutelde clients toegang tot de server te geven:

1. Ga naar Protocollen > , Windows Sharing (SMB) >Serverinstellingen.
2. Selecteer in het gedeelte Versleuteling onder Versleuteling inschakelen op SMB-clients met versleutelingsmogelijkheid de optie Aangepast gebruiken.
3. Schakel het selectievakje Versleuteling inschakelen op SMB-clients met versleutelingsmogelijkheid in.

Zowel versleutelde als niet-versleutelde clients hebben toegang.

Er zijn geen instellingen in PowerScale OneFS om alleen een SMB3-client toe te staan en SMB2-clientverbindingen te weigeren. Met 'Reject Unencrypted Access' maakt SMB2 echter geen verbinding zoals hieronder wordt uitgelegd.
Zoals we in het onderstaande voorbeeld kunnen zien, is de optie 'Niet-versleutelde toegang weigeren' standaard ingeschakeld. Dit betekent dat als er niet-versleuteld verkeer wordt waargenomen (ALLEEN wanneer SMB3-versleuteling is ingeschakeld), zowel het SMB2- als het SMB1-verkeer wordt geweigerd.

Opdracht om de algemene SMB-instellingen te controleren:

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Aangezien SMB3-versleuteling standaard is uitgeschakeld, is de optie ' Niet-versleutelde toegang weigeren: Ja' is niet effectief. Zodra de SMB3-versleuteling is ingeschakeld, is dat effectief.
De gedetailleerde uitleg over versleuteling is beschikbaar in het document 'PowerScale Design and Considerations for SMB' zoals bijgevoegd. 

Als beheerders willen voorkomen dat SMB2-verbindingen worden geweigerd wanneer SMB3-versleuteling is ingeschakeld, kunnen ze het kenmerk 'Niet-versleutelde toegang weigeren' wijzigen in 'nee' (uitgeschakeld). Hierdoor kunnen SMB2-verbindingen worden gemaakt, terwijl SMB3-verbindingen zijn versleuteld volgens de instellingen. Deze instelling kan ook globaal of op een specifiek zoneniveau of voor een bepaald aandeel worden ingesteld.

Als we encryptie "vereisen" door (globaal of op een toegangszone) beide instellingen op 'Ja' in te stellen, zoals hieronder:

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

De share-instelling 'Smb3 Encryption Enabled ' is impliciet ingesteld op 'Yes', dat wil zeggen dat versleuteling is ingeschakeld op alle shares, ongeacht die instelling op shareniveau. Kortom, "als we encryptie nodig hebben, maken we die impliciet ook mogelijk."

Het wordt aanbevolen om dit te testen op een aangewezen testaandeel voordat het wereldwijd of op een specifiek zoneniveau wordt geïmplementeerd.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfZie pagina 36.

PowerScale: OneFS upgrades infohub

Aanvullende informatie van Microsoft:
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/