Openmediavault als Memberserver in einer ADS-Domain

Wie man einen OMV in einer ADS-Domäne betreibt

Der Openmediavault (https://www.openmediavault.org) ist ein gelungenes System für einen Selbstbau-NAS. Auf beliebiger PC-Hardware lässt sich ein auch für Laien installierbares und verwaltbares Debian-Linux mit ansprechender und funktioneller webbasierter Administrationsoberfläche bauen. Und es gibt sogar ein ZFS-Plugin, sodaß man auch die Vorzüge dieses Dateisystems nutzen kann.

Leider ist die Anbindung an eine Active-Directory-Domäne nicht über die Weboberfläche zu machen. Dabei ist gerade diese Funktion für die Verwendung im betrieblichen Umfeld nicht ganz uninteressant. Daher lege ich hier mal dar, wie man das schnell und schmerzlos unter Zuhilfenahme der Kommandozeile hinbekommt.

Es gibt wohl Leute, die das nach dieser Anleitung gemacht haben: https://forum.openmediavault.org/index.php?thread/23465-guide-to-omv-4-active-directory-integration/ . Leider habe ich bisher mit dem sssd bisher nur Ärger gehabt. Ich werde also den “traditionellen” Weg mit Winbind vorstellen, der bei mir seit Jahren problemlos läuft.

Fehlende Softwarepakete

zunächst benötigt man noch ein paar Softwarepakete:

apt install libnss-winbind libpam-winbind winbind libpam-krb5 krb5-user smbclient

login.defs

In /etc/login.defs passen wir die Werte für UID_MAX und GID_MAX an:

UID_MAX   6000000
GID_MAX   6000000

Die UIDs und GIDs der Domänenbenutzer werden > der standardsmäßigen 60000 liegen. Um die in OMV sichtbar zu machen, müssen diese Werte hier angepasst werden.

Anpassungen für Samba

Die Einstellungen für Samba müssen im Webinterface unter Dienste->SMB/SIFS vorgenommen werden. Wenn man die in die smb.conf direkt einträgt, werden sie bei der nächsten Konfigurationsänderung überschrieben:

password server = *
realm = <IHRE DOMAIN>
security = ads
allow trusted domains = no
        idmap config * : backend = autorid
        idmap config * : range = 10001-2000000

winbind use default domain = true
winbind offline logon = true
winbind enum users = yes
winbind enum groups = yes
winbind separator = /
winbind nested groups = yes
;winbind normalize names = yes
winbind refresh tickets = yes
template shell = /bin/bash
template homedir = /export/home/%U
client ntlmv2 auth = yes
client use spnego = yes
follow symlinks = yes
wide links = yes
unix extensions = no

Der Domain beitreten

kinit <ADS-Admin>
net join -U<ADS-Admin>
systemctl restart smbd
systemctl restart nmbd
systemctl restart winbind

nsswitch.conf anpassen

in /etc/nsswitch.conf die Einträge für passwd und group anpassen:

passwd:         files winbind
group:          files winbind

ein getent passwd oder getent group sollte jetzt die Domänenbenutzer bzw. -gruppen anzeigen.

OMV neu starten

Damit die Änderungen auch in der GUI verfügbar werden, muss man den OMV-Rechner neu starten. Evtl. gibt’s noch eine andere Option. Die ist mir aber nicht bekannt.