Implementación de la política ldap para la prevención de la fuerza bruta

Tengo un servidor openldap (con contraseñas de usuario) abierto en todo el mundo que estoy intentando proteger.

El paso 1 fue limitar el acceso a los datos a los usuarios autenticados a través de ACL.

El paso 2, para prevenir ataques de fuerza bruta, fue implementar políticas. Parece estar funcionando bien, genial.

El paso 3 será "manejar al usuario que ha sido bloqueado y jura que no es su culpa" detectando los bloqueos dn lo antes posible con sus posibles causas.

Comencé a escribir scripts que verifican la presencia del atributo pwdAccountLockedTime, advierten por correo electrónico, hacen sonar campanas, etc. Está bien, pero me resulta difícil vincularlo a los datos de los registros que indican cuándo se produjeron los inicios de sesión incriminados, desde dónde se realizaron, etc. Todos los datos están ahí, pero reunirlos todos es una verdadera molestia. Estoy seguro de que no soy el único que se enfrenta a este problema (¿o estoy tratando de resolver el problema equivocado?) y que existen soluciones, pero no he podido encontrarlas. Me equivoco ?

Olvidé decir que fail2ban no es realmente adecuado. Hay muchos clientes, de los cuales no necesariamente conozco las direcciones, que probablemente realicen solicitudes masivas legítimas en el directorio y no aprobarían fail2ban. Suena extraño, lo sé, pero nuestra configuración aquí es complicada y tenemos que conformarnos con ella. Por eso estoy analizando las políticas.

Para abreviar, me gustaría tener una forma de monitorear la aparición de pwdAccountLockedTime y, cuando eso suceda, tener inmediatamente la información de qué usuario está interesado, los valores de pwdFailureTime, qué solicitudes se realizaron en ese momento y desde qué IP. direcciones en un único archivo de registro fácil de leer. Sería genial, ¿seguro que existe?