为传入的 SMB 通信量启用或禁用所需的 SMB 签名

可以通过启用所需的 SMB 签名来强制实施客户端签署 SMB 消息的要求。如果启用,ONTAP 仅在具有有效签名的情况下才接受 SMB 消息。如果想要允许 SMB 签名,但不需要它,则可以禁用所需的 SMB 签名。

关于本任务

默认情况下,所需的 SMB 签名处于禁用状态。您可以随时启用或禁用所需的 SMB 签名。
注:在下列情况下,默认不禁用 SMB 签名:
  1. 所需的 SMB 签名已启用,且集群已还原到不支持 SMB 签名的 ONTAP 版本。
  2. 集群随后升级到支持 SMB 签名的 ONTAP 版本。

    在这些情况下,最初在受支持的 ONTAP 版本上配置的 SMB 签名配置将通过还原和后续升级保留。

在设置 Storage Virtual Machine (SVM) 灾难恢复关系时,您为 snapmirror create 命令的 -identity-preserve 选项所选择的值可确定复制到目标 SVM 中的配置详细信息。

如果您将 -identity-preserve 选项设置为 true(保留 ID),则系统会将 SMB 签名安全设置复制到目标。

如果您将 -identity-preserve 选项设置为 false(不保留 ID),则系统不会将 SMB 签名安全设置复制到目标。在这种情况下,目标上的 CIFS 服务器安全设置将设置为默认值。如果已在源 SVM 上启用所需的 SMB 签名,您必须手动在目标 SVM 上启用所需的 SMB 签名。

步骤

  1. 请执行以下操作之一:
    所需的 SMB 签名状态 命令
    已启用 vserver cifs security modify -vserver vserver_name -is-signing-required true
    已禁用 vserver cifs security modify -vserver vserver_name -is-signing-required false
  2. 通过确定在以下命令输出中的 “Is Signing Required” 字段中的值是否设置为所需的值,验证所需的 SMB 签名处于启用还是禁用状态:vserver cifs security show -vserver vserver_name -fields is-signing-required

示例

以下示例启用 SVM vs1 需要的 SMB 签名:

cluster1::> vserver cifs security modify -vserver vs1 -is-signing-required true

cluster1::> vserver cifs security show -vserver vs1 -fields is-signing-required
vserver  is-signing-required
-------- -------------------
vs1      true