Samba3 도메인 컨트롤러에 잘못된 비밀번호를 입력하는 시스템 추적

tag-icon tag-icon linux ldap authentication samba
Samba3 도메인 컨트롤러에 잘못된 비밀번호를 입력하는 시스템 추적

다른 컴퓨터가 오래되고 잘못된 비밀번호로 로그인을 시도하여 사용자 계정을 잠그기 때문에 계정이 지속적으로 잠기는 사용자가 있습니다.

사용자는 어떤 기계가 이 작업을 수행하는지 알 수 없습니다.

로그인을 시도하는 원격 컴퓨터의 IP를 얻을 수 있는 방법이 있습니까? 이미 로그를 살펴봤지만 명확한 내용이 나오지 않습니다...

그런데 인증은 LDAP로 이루어집니다.

답변1

당신은 "로그 분할" 방법을 작성하지 않았으며 잘못된 방식으로 작성했다고 가정합니다. 다음 줄 섹션 smb.conf에 파일을 추가합니다 .[global]

# log files split per-machine: log file = /var/log/samba/log.%m

이제 /var/log/samba/다음이 표시됩니다.

[root@server samba]# ls -l total 52 drwx------. 5 root root 43 Jan 28 05:40 cores -rw-r--r-- 1 root root 0 Jun 3 03:45 log. -rw-r--r-- 1 root root 0 May 28 20:42 log.10.0.6.100 .... -rw-r--r-- 1 root root 0 May 29 03:31 log.winxp ...

log level = 2선택적으로 다음을 설정하여 삼바를 더 장황하게 만들 수도 있습니다 3. (또한 [global]섹션)

LDAP 서버가 OpenLDAP인 경우에도 디버깅을 시도하십시오. 다음을 추가 loglevel 512하고 rsyslog를 구성하여 대신 또는 다음 을 추가하여 slapd.confLDAP 로그를 다른 파일로 리디렉션할 수 있습니다 ./var/log/messagessyslogdebugrsyslog.conf

local4.* -/var/log/ldap.log

예제 출력:

Jan 28 22:05:40 server slapd[1348]: conn=1155 op=0 BIND dn="uid=administrator,ou=users,dc=intranet,dc=company,dc=com,dc=pl" method=128
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=0 BIND dn="uid=administrator,ou=users,dc=intranet,dc=company,dc=com,dc=pl" mech=SIMPLE ssf=0
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=0 RESULT tag=97 err=0 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=1 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=0 deref=0 filter="(&(objectClass=*))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=1 SRCH attr=* +
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=2 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=0 deref=0 filter="(&(objectClass=*))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=2 SRCH attr=* 1.1
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=3 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=0 deref=0 filter="(&(objectClass=*))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=3 SRCH attr=+ creatorsName createTimestamp modifiersName modifyTimestamp hasSubordinates pwdChangedTime
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=4 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=1 deref=0 filter="(objectClass=*)"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=4 SRCH attr=dn
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=4 SEARCH RESULT tag=101 err=0 nentries=0 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=5 SRCH base="dc=intranet,dc=company,dc=com,dc=pl" scope=2 deref=3 filter="(&(objectClass=posixGroup)(gidNumber=513))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=5 SRCH attr=dn description
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=6 UNBIND
Jan 28 22:05:40 server slapd[1348]: conn=1155 fd=30 closed

추신. 실패한 로그인 시도는 다른 시스템에 영향을 주어서는 안됩니다.

관련 정보