OMV - Openmediavault in ein Active Directory einbinden für Useranthentifizierung

---

Beschreibung

diese Kurzanleitung soll die Schritte darstellen, wie Sie eine Openmediavault (OMV) Instanz mit einem Acitve Directory koppeln können, damit sich User authentifizieren können bzw. AD Gruppen auf freigegebene Verzeichnisse verrechten.

Diese Beschreibung wurde in einer VM Testumgebung mit einen 2008 R2 AD Domain Controller und der Version 2.1 von OMV getestet.

Domain Name: lab.int
Domain Controller: labsrv01
OMV Hostname : storage

 

Schritte:

1. Melden Sie sich an der Weboberfläche von OMV an und aktivieren die SSH Funktion.
2. Melden Sie sich anschließend am Server via SSH an und führen folgendes Kommando aus: apt-get update
3. Kontrollieren Sie die Uhrzeit mittels Kommando: date
4. Kontrollieren Sie die korrekte Ausgabe des Hostnamen: hostname -f
5. Installieren Sie folgende Pakete:
   
   apt-get install krb5-user krb5-clients libpam-krb5 winbind libnss-winbind
   
   
   
6. Passen Sie folgende Datei an:
   
   

   Dateipfad:

   nano /etc/krb5.conf

   
   Fügen Sie folgenden Inhalt ein:
   
   

   [libdefaults]  default_realm = LAB.INT  ticket_lifetime = 24h  dns_lookup_kdc = true  dns_lookup_realm = true ; for Windows 2008 R2 with AES default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5 default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5 [realms]  LAB.INT = {  kdc = labsrv01.lab.int:88  admin_server = labsrv01.lab.int  default_domain = lab.int  kpasswd_server = labsrv01.lab.int  } [domain_realm]  .lab.int = LAB.INT  lab.int = LAB.INT [logging]  default = FILE:/var/log/krb5libs.log  kdc = FILE:/var/log/krb5kdc.log  admin_server = FILE:/var/log/kadmind.log

   
   
   
7. Kontrolle, erreichbarkeit der Domäne und des Controllers via KDC Eintrag: kinit -V admin@LAB.INT
   Sie werden aufgefordert das User Kennwort einzugeben.
   
   
8. Nach der oben genannten Eingabe, kontrollieren Sie durch Abfrage der Cache/Log Datei die Authentifizierung mit folgendem Kommando:
   
   klist
   
   Bsp Ausgabe:
   Ticket cache: FILE:/tmp/krb5cc_0
   Default principal: administrator (at) DOMAIN.LOCAL
    
   Valid starting     Expires            Service principal
   01/28/13 13:28:58  01/28/13 13:38:58  krbtgt/DOMAIN.LOCAL (at) DOMAIN.LOCAL
   
   
9. Wechseln Sie zur Weboberfläche von OMV und wählen aus den Diensten die SMB/CIFS aus.
10. Aktivieren Sie SAMBA. BILD
11. Tragen Sie unter WORKGROUP die Domäne ein: LAB
12. Aktivieren Sie unter der Rubrik die Heimverzeichisse und diese sollen DURCHSUCHBAR sein.
13. Unter der Rubrik Erweiterte Einstellungen, fügen Sie die folgende Erweiterten Optionen ein:
    
    

    password server = * realm = lab.int security = ads allow trusted domains = no idmap config * : range = 9500-9999 winbind use default domain = true winbind offline logon = false winbind enum users = yes winbind enum groups = yes winbind separator = / winbind nested groups = yes ;winbind normalize names = yes winbind refresh tickets = yes template shell = /bin/bash template homedir = /home/%D/%U   # Performance improvements socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 client ntlmv2 auth = yes client use spnego = yes

    
    
    
14. Speichern Sie die oben genannten Einstellungen ab.
15. Wechseln Sie in die SSH Console zurück und testen die SAMBA Einstellungen via: testparm
16. Bearbeiten Sie die winbind Datei und entfernen die # vor der Zeile: #WINBINDD_OPTS = "-n"
17. Starten Sie den Samba und Winbind Dienst neu:
    
    service samba stop
    service winbind restart
    service samba start
    
    
18. Führen Sie nun den AD Join aus um den OMV Server dem AD beizutretten:
    
    net ads join -U a0min@lab.int
    
    
19. Passen Sie die Authentifizierungsmethode an der Maschine an:
    
    Datei: nano /etc/nsswitch.conf
    passwd: compat winbind
    group: compat winbind
    shadow: compat
    
    
20. Starten Sie den Server neu.

 

Wenn Sie die oben genannten Schritte durchgeführt haben, wurde OMV (NAS Server) erfolgreich ins Active Directory aufgenommen und die User/Gruppen sind über die Zugriffsgruppen verwaltbar.

 

---

Quelle: www.wishzone.net - Openmediavault: join a Windows 2008R2 domain

Info: infraops.info - OpenMediaVault – Integrando NAS ao domínio Windows