Startseite > Dokumentation > Opensource > OMV - OpenmediaVault in ein Active Directory einbinden für Useranthentifizierung
 
 
 
 

OMV - OpenmediaVault in ein Active Directory einbinden für Useranthentifizierung


Beschreibung

diese Kurzanleitung soll die Schritte darstellen, wie Sie eine OMV Instanz mit einem Acitve Directory koppeln können, damit sich User dagegen authentifizieren können bzw. AD Gruppen auf freigegebene Verzeichnisse verrechten.

Diese Beschreibung wurde in einer VM Testumgebung mit einen 2008 R2 AD Domain Controller und der Version 2.1 von OMV getestet.

Domain Name: lab.int
Domain Controller: labsrv01
OMV Hostname : storage

 

Schritte:

  1. Melden Sie sich an der Weboberfläche von OMV an und aktivieren die SSH Funktion.
  2. Melden Sie sich anschließend am Server via SSH an und führen folgendes Kommando aus: apt-get update
  3. Kontrollieren Sie die Uhrzeit mittels Kommando: date
  4. Kontrollieren Sie die korrekte Ausgabe des Hostnamen: hostname -f
  5. Installieren Sie folgende Pakete:

    apt-get install krb5-user krb5-clients libpam-krb5 winbind libnss-winbind


  6. Passen Sie folgende Datei an:

    Dateipfad: nano /etc/krb5.conf

    Fügen Sie folgenden Inhalt ein:

    [libdefaults]
     default_realm = LAB.INT
     ticket_lifetime = 24h
     dns_lookup_kdc = true
     dns_lookup_realm = true


    ; for Windows 2008 R2 with AES
    default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
    default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5


    [realms]
     LAB.INT = {
     kdc = labsrv01.lab.int:88
     admin_server = labsrv01.lab.int
     default_domain = lab.int
     kpasswd_server = labsrv01.lab.int
     }


    [domain_realm]
     .lab.int = LAB.INT
     lab.int = LAB.INT


    [logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log


  7. Kontrolle, erreichbarkeit der Domäne und des Controllers via KDC Eintrag: kinit -V admin@LAB.INT
    Sie werden aufgefordert das User Kennwort einzugeben.

  8. Nach der oben genannten Eingabe, kontrollieren Sie durch Abfrage der Cache/Log Datei die Authentifizierung mit folgendem Kommando:

    klist

    Bsp Ausgabe:
    Ticket cache: FILE:/tmp/krb5cc_0
    Default principal: administrator (at) DOMAIN.LOCAL
     
    Valid starting     Expires            Service principal
    01/28/13 13:28:58  01/28/13 13:38:58  krbtgt/DOMAIN.LOCAL (at) DOMAIN.LOCAL

  9. Wechseln Sie zur Weboberfläche von OMV und wählen aus den Diensten die SMB/CIFS aus.
  10. Aktivieren Sie SAMBA. BILD
  11. Tragen Sie unter WORKGROUP die Domäne ein: LAB
  12. Aktivieren Sie unter der Rubrik die Heimverzeichisse und diese sollen DURCHSUCHBAR sein.
  13. Unter der Rubrik Erweiterte Einstellungen, fügen Sie die folgende Erweiterten Optionen ein:

    password server = *
    realm = lab.int
    security = ads
    allow trusted domains = no
    idmap config * : range = 9500-9999
    winbind use default domain = true
    winbind offline logon = false
    winbind enum users = yes
    winbind enum groups = yes
    winbind separator = /
    winbind nested groups = yes
    ;winbind normalize names = yes
    winbind refresh tickets = yes
    template shell = /bin/bash
    template homedir = /home/%D/%U
     
    # Performance improvements
    socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    client ntlmv2 auth = yes
    client use spnego = yes


  14. Speichern Sie die oben genannten Einstellungen ab.
  15. Wechseln Sie in die SSH Console zurück und testen die SAMBA Einstellungen via: testparm
  16. Bearbeiten Sie die winbind Datei und entfernen die # vor der Zeile: #WINBINDD_OPTS = "-n"
  17. Starten Sie den Samba und Winbind Dienst neu:

    service samba stop
    service winbind restart
    service samba start

  18. Führen Sie nun den AD Join aus um den OMV Server dem AD beizutretten:

    net ads join -U a0min@lab.int

  19. Passen Sie die Authentifizierungsmethode an der Maschine an:

    Datei: nano /etc/nsswitch.conf
    passwd: compat winbind
    group: compat winbind
    shadow: compat

  20. Starten Sie den Server neu.

 

Wenn Sie die oben genannten Schritte durchgeführt haben, wurde OMV (NAS Server) erfolgreich ins Active Directory aufgenommen und die User/Gruppen sind über die Zugriffsgruppen verwaltbar.

 


Quelle: www.wishzone.net - Openmediavault: join a Windows 2008R2 domain

Info: infraops.info - OpenMediaVault – Integrando NAS ao domínio Windows