Debianベースのスーパー優秀なNASであるOMVをADドメインに参加させる。

Debian系はあまり使ってこなかったので、自分のための備忘録も兼ねていて余談が多い。
興味ない人はすっとばしてくださいな。

【覚書】vi

デフォルトのvi使いづらくね?
参考:viで矢印が「ABCD」になる問題を解決 | Ystk Log 【ヨシタカログ】

設定で回避してもいまいちだったのでvimを入れた。よい。

apt-get -y install vim

【覚書】インストール後作業

■アップデート
apt-get -y update
apt-get -y dist-upgrade
■自動更新

参考:セキュリティーアップデートを自動化する方法 | サーバーエンジニアブログ

apt-get -y install cron-apt

設定ファイルを修正する。

vi /etc/cron-apt/config
APTCOMMAND=/usr/bin/apt-get
ACTIONDIR="/etc/cron-apt/action.d"
SYSLOGON="error"
OPTIONS="-o quiet=1 --no-list-cleanup -o 
Dir::Etc::SourceList=/etc/apt/security.sources.list -o 
Dir::Etc::SourceParts=\"/dev/null\""

Debian 9用。

vi /etc/apt/security.sources.list
deb http://security.debian.org wheezy/updates main contrib non-free
deb-src http://security.debian.org wheezy/updates main contrib non-free
■OpenVmTools

ESXiの仮想マシンなので必要。

apt-get -y install open-vm-tools

■ActiveDirectoryに参加する

ようやく本題へ。
参考:OpenMediaVault e Active Directory | Il blog di Fabio Sardi

前提として以下の環境とする。

OMVバージョン4.1.14-1 (Arrakis)

Active Directory関連は以下みたいな感じ。

レルム名LOCAL.DOMAIN.JP
ドメインコントローラaddc.local.domain.jp
ドメインDNS192.168.100.11
ドメイン名DOMAIN

■OMVのWEB UIから

ネットワークの一般でドメインを設定して反映する。hostsを勝手に書き換えてくれてえらい。

以下はシェルでhosts確認の参考。

cat /etc/hosts

127.0.0.1 localhost
127.0.1.1 omv.local.domain.jp omv

ネットワークでDNSをドメインDNSに向けておく。

SMB/CIFSの追加オプションに以下を追加して反映。

client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
password server = addc.local.domain.jp
realm = LOCAL.DOMAIN.JP
security = ads

■ここからシェル

ドメコンを名前解決できるようにdnsを使う設定にする。

vi /etc/nsswitch.conf
#hosts: files mdns4_minimal [NOTFOUND=return] dns
hosts: files dns mdns4_minimal [NOTFOUND=return]

Kerberos認証できるように以下をインストールする。

apt-get -y install krb5-user krb5-config sssd libpam-sss libnss-sss sssd-tools libsss-sudo libsasl2-modules-gssapi-mit

自分のADに設定を合わせる。

vi /etc/sssd/sssd.conf
[sssd]
services = nss, pam, pac, ssh
config_file_version = 2
domains = LOCAL.DOMAIN.JP

[domain/LOCAL.DOMAIN.JP]
id_provider = ad
access_provider = ad
auth_provider = ad
chpass_provider = ad
ldap_idmap_autorid_compat = True
enumerate = True
ldap_idmap_range_min = 20000
chmod 0600 /etc/sssd/sssd.conf

■ADに参加する

ホスト名を確認しておく。FQDNがちゃんと引けないとドメインDNSに登録されない。

hostname
omv

hostname -f
omv.local.domain.jp

以下でドメイン参加できる。ついでにsssdを念のため起動設定しておく。

kinit administrator
net ads join -k

systemctl start sssd
systemctl enable sssd

■再起動してADユーザーを確認する

再起動するとOMV WEB UIで共有ACLなどの設定時に、ADユーザーが選べるようになっている。

reboot

ログインしてActiveDirectoryのユーザーが見えることを確認。

■OMVの共有フォルダにアクセスする

ユーザー:administrator@local.domain.jp
などのADユーザーでログインできることを確認する。