samba3 ドメイン コントローラに不正なパスワードを入力しているマシンを追跡する

tag-icon tag-icon linux ldap authentication samba
samba3 ドメイン コントローラに不正なパスワードを入力しているマシンを追跡する

別のマシンが古くて不正なパスワードでログインしようとして、ユーザーのアカウントがロックされるため、ユーザーのアカウントが頻繁にロックされることがあります...

ユーザーは、どのマシンがこれを実行しているのかわかりません...

ログインしようとしているリモート マシンの IP を取得する方法はありますか? すでにログを調べましたが、明確な情報は見つかりません...

ちなみに、認証は LDAP で行われます。

答え1

どのように「ログを分割」したかが書かれていませんが、間違った方法で分割したと思われます。smb.confファイルの[global]次の行のセクションに追加してください。

# log files split per-machine: log file = /var/log/samba/log.%m

次のように/var/log/samba/表示されるはずです:

[root@server samba]# ls -l total 52 drwx------. 5 root root 43 Jan 28 05:40 cores -rw-r--r-- 1 root root 0 Jun 3 03:45 log. -rw-r--r-- 1 root root 0 May 28 20:42 log.10.0.6.100 .... -rw-r--r-- 1 root root 0 May 29 03:31 log.winxp ...

log level = 2オプションとして、または を設定することで、Samba をより詳細にすることができます 3。([global]セクションも参照)

LDAP サーバーが OpenLDAP の場合は、これもデバッグしてみてください。 に以下を追加して rsyslog を構成loglevel 512slapd.conf、代わりに LDAP ログを別のファイルにリダイレクトする/var/log/messagesか、syslogdebug以下を追加して以下を実行できますrsyslog.conf

local4.* -/var/log/ldap.log

出力例:

Jan 28 22:05:40 server slapd[1348]: conn=1155 op=0 BIND dn="uid=administrator,ou=users,dc=intranet,dc=company,dc=com,dc=pl" method=128
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=0 BIND dn="uid=administrator,ou=users,dc=intranet,dc=company,dc=com,dc=pl" mech=SIMPLE ssf=0
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=0 RESULT tag=97 err=0 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=1 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=0 deref=0 filter="(&(objectClass=*))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=1 SRCH attr=* +
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=2 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=0 deref=0 filter="(&(objectClass=*))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=2 SRCH attr=* 1.1
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=3 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=0 deref=0 filter="(&(objectClass=*))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=3 SRCH attr=+ creatorsName createTimestamp modifiersName modifyTimestamp hasSubordinates pwdChangedTime
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=4 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=1 deref=0 filter="(objectClass=*)"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=4 SRCH attr=dn
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=4 SEARCH RESULT tag=101 err=0 nentries=0 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=5 SRCH base="dc=intranet,dc=company,dc=com,dc=pl" scope=2 deref=3 filter="(&(objectClass=posixGroup)(gidNumber=513))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=5 SRCH attr=dn description
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=6 UNBIND
Jan 28 22:05:40 server slapd[1348]: conn=1155 fd=30 closed

PS. ログイン試行が失敗しても、他のマシンには影響はありません。

関連情報