Beschreibung
diese Kurzanleitung soll die Schritte darstellen, wie Sie eine Openmediavault (OMV) Instanz mit einem Acitve Directory koppeln können, damit sich User authentifizieren können bzw. AD Gruppen auf freigegebene Verzeichnisse verrechten.
Diese Beschreibung wurde in einer VM Testumgebung mit einen 2008 R2 AD Domain Controller und der Version 2.1 von OMV getestet.
Domain Name: lab.int
Domain Controller: labsrv01
OMV Hostname : storage
Schritte:
- Melden Sie sich an der Weboberfläche von OMV an und aktivieren die SSH Funktion.
- Melden Sie sich anschließend am Server via SSH an und führen folgendes Kommando aus: apt-get update
- Kontrollieren Sie die Uhrzeit mittels Kommando: date
- Kontrollieren Sie die korrekte Ausgabe des Hostnamen: hostname -f
- Installieren Sie folgende Pakete:
apt-get install krb5-user krb5-clients libpam-krb5 winbind libnss-winbind - Passen Sie folgende Datei an:
Dateipfad: nano /etc/krb5.conf
Fügen Sie folgenden Inhalt ein:
[libdefaults]
default_realm = LAB.INT
ticket_lifetime = 24h
dns_lookup_kdc = true
dns_lookup_realm = true
; for Windows 2008 R2 with AES
default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
[realms]
LAB.INT = {
kdc = labsrv01.lab.int:88
admin_server = labsrv01.lab.int
default_domain = lab.int
kpasswd_server = labsrv01.lab.int
}
[domain_realm]
.lab.int = LAB.INT
lab.int = LAB.INT
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log - Kontrolle, erreichbarkeit der Domäne und des Controllers via KDC Eintrag: kinit -V admin@LAB.INT
Sie werden aufgefordert das User Kennwort einzugeben. - Nach der oben genannten Eingabe, kontrollieren Sie durch Abfrage der Cache/Log Datei die Authentifizierung mit folgendem Kommando:
klist
Bsp Ausgabe:
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator (at) DOMAIN.LOCAL
Valid starting Expires Service principal
01/28/13 13:28:58 01/28/13 13:38:58 krbtgt/DOMAIN.LOCAL (at) DOMAIN.LOCAL - Wechseln Sie zur Weboberfläche von OMV und wählen aus den Diensten die SMB/CIFS aus.
- Aktivieren Sie SAMBA. BILD
- Tragen Sie unter WORKGROUP die Domäne ein: LAB
- Aktivieren Sie unter der Rubrik die Heimverzeichisse und diese sollen DURCHSUCHBAR sein.
- Unter der Rubrik Erweiterte Einstellungen, fügen Sie die folgende Erweiterten Optionen ein:
password server = *
realm = lab.int
security = ads
allow trusted domains = no
idmap config * : range = 9500-9999
winbind use default domain = true
winbind offline logon = false
winbind enum users = yes
winbind enum groups = yes
winbind separator = /
winbind nested groups = yes
;winbind normalize names = yes
winbind refresh tickets = yes
template shell = /bin/bash
template homedir = /home/%D/%U
# Performance improvements
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
client ntlmv2 auth = yes
client use spnego = yes - Speichern Sie die oben genannten Einstellungen ab.
- Wechseln Sie in die SSH Console zurück und testen die SAMBA Einstellungen via: testparm
- Bearbeiten Sie die winbind Datei und entfernen die # vor der Zeile: #WINBINDD_OPTS = "-n"
- Starten Sie den Samba und Winbind Dienst neu:
service samba stop
service winbind restart
service samba start - Führen Sie nun den AD Join aus um den OMV Server dem AD beizutretten:
net ads join -U a0min@lab.int - Passen Sie die Authentifizierungsmethode an der Maschine an:
Datei: nano /etc/nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat - Starten Sie den Server neu.
Wenn Sie die oben genannten Schritte durchgeführt haben, wurde OMV (NAS Server) erfolgreich ins Active Directory aufgenommen und die User/Gruppen sind über die Zugriffsgruppen verwaltbar.
Quelle: www.wishzone.net - Openmediavault: join a Windows 2008R2 domain
Info: infraops.info - OpenMediaVault – Integrando NAS ao domínio Windows