OpenMediaVault - Integrando NAS al

dominio de Windows
14 de abril de 2016
4448
0
Compartir:





En otro artículo he mostrado lo que es y cómo a instalar un servidor NAS con

OpenMediaVault , facilitando la gestión y ejecución de servicios de red como FTP,
NFS, rsync, entre otros para compartir archivos.

Ahora, en este tutorial voy a mostrar cómo a integrar OpenMediaVault a un dominio de

Windows o Samba4. Permitiendo que permite establecer permisos (ACL) a los archivos
y las carpetas compartidas, además de acceder a servicios de red como FTP, SSH, entre
otros, el uso de los usuarios y grupos de dominio, ya sea en Windows Server 2008 R2
(Active Directory) o un servidor Linux con Samba4 (Zentyal).

ajustes
Antes de cualquier cosa, necesitamos chequear el hostname y dns que necesita estar
respondiendo de acuerdo con su dominio.

Shell
host domain.local
hostname -f

1 host domain .local

2 hostname - f

También es necesario comprobar la hora del servidor, que debe estar sincronizada con
su servidor de dominio. Para aconsejar utilizar NTP para sincronizar.

Paquetes necesarios
Instale los paquetes siguientes:
Shell
apt-get update
apt-get install krb5-user krb5-cli

1 apt - get update

2 apt - get install krb5 - user krb5 - clients libpam - krb5 winbind libnss - winbind

Kerberos
Es necesario ajustar el kerberos para la configuración de su dominio, para que edite el
archivo de configuración predeterminado del en / Etc / krb5. parámetro de cambio de
conf default_realm = DOMAIN . LOCAL default_realm = DOMAIN . LOCAL el
nombre completo de su dominio.

NOTA:. No sé por qué no puedo autenticar en el dominio sin llenar el FQDN del
parámetro default_realm en mayúsculas. Llene de esta forma para no tener problemas.

Shell
[libdefaults]
default_realm = DOMAIN.LO
ticket_lifetime = 600
dns_lookup_realm = yes

1 [ libdefaults ]
2          default_realm = DOMAIN .LOCAL
3          ticket_lifetime = 600
4          dns_lookup_realm = yes
5          dns_lookup_kdc = yes
6          renew_lifetime = 7d
7 ;        allow_weak_crypto = true
8  
9 # The following krb5.conf variables are only for MIT Kerberos.
10 ;        krb4_config = / etc / krb .conf
11 ;        krb4_realms = / etc / krb .realms
12 ;        kdc_timesync = 1
13 ;        ccache_type = 4
14 ;        forwardable = true
15 ;        proxiable = true
16  
17 # The following encryption type specification will be used by MIT Kerberos
18 # if uncommented.  In general, the defaults in the MIT Kerberos code are
19 # correct and overriding these specifications only serves to disable new
20 # encryption types as they are added, creating interoperability problems.
21 #
22 # Thie only time when you might need to uncomment these lines and change
23 # the enctypes is if you have local software that will break on ticket
24 # caches containing ticket encryption types it doesn't know about (such as
 # old versions of Sun Java).
 
25        # Pour Windows Server 2008 R2 (seems not required)
26 ;        default_tgs_enctypes = aes256 - cts - hmac - sha1 - 96 rc4 - hmac des - cbc -
27 crc des - cbc - md5
28 ;        default_tkt_enctypes = aes256 - cts - hmac - sha1 - 96 rc4 - hmac des - cbc - crc
29 des - cbc - md5
30 ;        permitted_enctypes = aes256 - cts - hmac - sha1 - 96 rc4 - hmac des - cbc - crc
31 des - cbc - md5
32  
33        # Pour Windows Server 2003 (not tested agains windows 2003 server yet, and
34 this server is deprecated)
35 ;        default_tgs_enctypes = rc4 - hmac des - cbc - crc des - cbc - md5
36 ;        default_tkt_enctypes = rc4 - hmac des - cbc - crc des - cbc - md5
37 ;        permitted_enctypes = rc4 - hmac des - cbc - crc des - cbc - md5
38  
39  
40 [ kdc ]
41          profile = / etc / krb5kdc / kdc .conf
42  
43 [ logging ]
44          kdc = FILE : / var / log / krb5kdc .log
         admin_server = FILE : / var / log / kadmin .log
         default = FILE : / var / log / krb5lib .log

Prueba de autenticación
Vamos a realizar una prueba de autenticación para saber si todo está bien.

Shell
kinit -V administrator@DOMAIN.

1 kinit - V administrator @ DOMAIN .LOCAL

Utilice el comando klist para comprobar el billete generado. Para borrar utilice el
comando kdestroy.

samba
En la interfaz web de OMV, inicie SAMBA y configure Grupo de trabajo: Dominio
para su dominio. Marque la opción "Activar directorios principales de los usuarios". Si
desea que el "user home" sea visible a todos marque la opción "Conjunto Navegable".

en "Opciones adicionales" agregan los siguientes parámetros cambiando el parámetro

reino con el nombre completo de su dominio:
Shell
passw ord server = *
realm = DOMAIN.LOCAL
security = ads
allow trusted domains = no

1 password server = *
2 realm = DOMAIN .LOCAL
3 security = ads
4 allow trusted domains = no
5 idmap config * : range = 9500 - 9999
6 winbind use default domain = true
7 winbind offline logon = false
8 winbind enum users = yes
9 winbind enum groups = yes
10 winbind separator = /
11 winbind nested groups = yes
12 ; winbind normalize names = yes
13 winbind refresh tickets = yes
14 template shell = / bin / bash
15 template homedir = / home / % D / % U
16  
17 # Performance improvements
18 socket options = TCP_NODELAY SO_RCVBUF = 8192 SO_SNDBUF = 8192
19 client ntlmv2 auth = yes
20 client use spnego = yes

Pruebe la configuración de Samba con el comando: testparm

Ok, ahora vamos a deshabilitar caché winbind mediante la edición de la base de datos
completa / Etc / default / winbind y eliminar el parámetro comentario
#WINBINDD_OPTS = "-n"
Reinicie el samba y winbind

Shell
service samba stop
service w inbind restart
service samba start

1 service samba stop

2 service winbind restart
3 service samba start

dominio
Utilice el comando siguiente para unirse al dominio.

Shell
net ads join -U administrator@D

1 net ads join - U administrator @ DOMAIN .LOCAL