我有一個在全球範圍內開放的 openldap 伺服器(帶有用戶密碼),我正在嘗試保護它。
步驟 1 是透過 ACL 限制經過驗證的使用者對資料的存取。
第二步,為了防止暴力攻擊,需要實施策略。看起來工作正常,很酷。
步驟 3 將是“處理被鎖定的用戶,並發誓這不是他的錯”,儘早發現 DN 鎖定及其可能的原因。
我已經開始編寫腳本來檢查pwdAccountLockedTime 屬性是否存在,透過電子郵件發出警告,敲響警鈴等。從何處完成等。我確信我不是唯一面臨這個問題的人(或者我是否試圖解決錯誤的問題?)並且解決方案是存在的,我只是一直無法找到它們。我錯了嗎 ?
忘了說,fail2ban 不太適合。有很多客戶,我不一定知道他們的地址,他們很可能對目錄進行合法的大量請求,並且不會通過fail2ban。我知道這聽起來很奇怪,但是我們這裡的配置很複雜,我們只能湊合著用。這就是我關注政策的原因。
簡而言之,我希望有一種方法來監視 pwdAccountLockedTime 的發生,並且當發生這種情況時,立即獲得有關哪個用戶所關注的信息、pwdFailureTime 值、當時執行了哪些請求以及來自哪個 IP位址位於單個易於閱讀的日誌檔中。那太好了,它肯定存在嗎?
答案1
我會對步驟 3 提出疑問。
您所需要的只是一個管理操作,使用臨時新密碼重置帳戶,當他抱怨時(通過其他方式驗證他的身份後)您告訴他,並且他下次登錄時必須更改,所有這些都可以完成通過政策。