OpenMediaVaultをActiveDirectoryドメインに参加させる

Debianベースのスーパー優秀なNASであるOMVをADドメインに参加させる。

【覚書】vi

デフォルトのvi使いづらくね?
参考:viで矢印が「ABCD」になる問題を解決 | Ystk Log 【ヨシタカログ】

設定で回避してもいまいちだったのでvimを入れた。よい。

apt-get -y install vim

■ActiveDirectoryに参加する

ようやく本題へ。
参考:OpenMediaVault e Active Directory | Il blog di Fabio Sardi

前提として以下の環境とする。

OMVバージョン4.1.14-1 (Arrakis)

Active Directory関連は以下みたいな感じ。

レルム名LOCAL.DOMAIN.JP
ドメインDNS192.168.100.11
ワークグループ名DOMAIN

ドメコンはcentos7またはubuntu 18.04のsamba4による実装とする。

SSSDメインとなるが、以下の手順でADのDNSの自動更新まではできてるっぽい。

■OMVのWEB UIから

ネットワークの一般でドメインを設定して反映する。hostsを勝手に書き換えてくれてえらい。

以下はシェルでhosts確認の参考。

cat /etc/hosts

127.0.0.1 localhost
127.0.1.1 omv.local.domain.jp omv

ネットワークでDNSをドメインDNSに向けておく。

SMB/CIFSの追加オプションに以下を追加して反映。

client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = LOCAL.DOMAIN.JP
security = ads

■ここからシェル

OMVのWebUIからユーザーやグループを見れるように以下を修正する。
この値は環境によって異なるかも。

vi /etc/login.defs
#UID_MIN                         1000
#UID_MAX                        60000
UID_MIN                  500
UID_MAX                 60000000

#GID_MIN                         1000
#GID_MAX                        60000
GID_MIN                  500
GID_MAX                 60000000

ドメコンを名前解決できるようにdnsを使う設定にする。

vi /etc/nsswitch.conf
#hosts: files mdns4_minimal [NOTFOUND=return] dns
hosts: files dns mdns4_minimal [NOTFOUND=return]

Kerberos認証できるように以下をインストールする。

apt-get -y install krb5-user krb5-config sssd libpam-sss libnss-sss sssd-tools libsss-sudo libsasl2-modules-gssapi-mit

自分のADに設定を合わせる。

vi /etc/sssd/sssd.conf
[sssd]
services = nss, pam, pac, ssh
config_file_version = 2
domains = LOCAL.DOMAIN.JP

[domain/LOCAL.DOMAIN.JP]
id_provider = ad
access_provider = ad
auth_provider = ad
chpass_provider = ad
ldap_idmap_autorid_compat = True
enumerate = True
ldap_idmap_range_min = 20000

sssdが読んでくれるように、パーミッションを変えておく。

chmod 0600 /etc/sssd/sssd.conf

■ADに参加する

ホスト名を確認しておく。FQDNがちゃんと引けないとドメインDNSに登録されない。

hostname
omv

hostname -f
omv.local.domain.jp

以下でドメイン参加できる。ついでにsssdを念のため起動設定しておく。

kinit administrator
net ads join -k

systemctl start sssd
systemctl enable sssd

■再起動してADユーザーを確認する

再起動するとOMV WEB UIで共有ACLなどの設定時に、ADユーザーが選べるようになっている。

reboot

ログインしてActiveDirectoryのユーザーが見えることを確認。

■OMVの共有フォルダにアクセスする

ユーザー:administrator@local.domain.jp
などのADユーザーでログインできることを確認する。