Отследите машину, кто вводит неверные пароли в samba3 контроллер домена
У меня есть пользователь, который блокировал его учетную запись постоянно, потому что другая машина пытается войти в систему со старым и неверным паролем и таким образом блокирует учетную запись пользователя...
Пользователь не знает, какая машина могла делать это...
Там какой-либо путь состоит в том, чтобы получить IP удаленной машины, пытающейся входить в систему? Я уже погрузился журналы, и ничто не очищается, появляется...
BTW аутентификация сделан с LDAP.
Вы не писали, как вы «разделяли журналы», и я предполагаю, что вы сделал это неправильно. Добавьте в свой файл smb.conf в раздел [global] ниже строки:
# файлов журнала, разделенных на каждую машину:
файл журнала = /var/log/samba/log.%m
Теперь в / var / log / samba / вы должны увидеть:
[root @ server samba] # ls -l
всего 52
drwx ------. 5 root root 43 28 янв 05:40 ядер
-rw-r - r-- 1 root root 0 3 июн 03:45 log.
-rw-r - r-- 1 root root 0 28 мая 20:42 log.10.0.6.100
....
-rw-r - r-- 1 root root 0 29 мая 03:31 log.winxp
...
При желании вы можете попытаться сделать самбу более подробной, установив:
уровень журнала = 2 или даже 3 . (Также раздел [global] )
Если ваш сервер LDAP - OpenLDAP, попробуйте также отладить его. Можете добавить:
loglevel 512 в slapd.conf и настройте rsyslog для перенаправления журналов LDAP в другой файл вместо / var / log / messages или syslog или отладьте , добавив в rsyslog.conf :
local4. * - / var / log / ldap.log
Пример вывода:
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=0 BIND dn="uid=administrator,ou=users,dc=intranet,dc=company,dc=com,dc=pl" method=128
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=0 BIND dn="uid=administrator,ou=users,dc=intranet,dc=company,dc=com,dc=pl" mech=SIMPLE ssf=0
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=0 RESULT tag=97 err=0 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=1 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=0 deref=0 filter="(&(objectClass=*))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=1 SRCH attr=* +
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=2 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=0 deref=0 filter="(&(objectClass=*))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=2 SRCH attr=* 1.1
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=3 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=0 deref=0 filter="(&(objectClass=*))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=3 SRCH attr=+ creatorsName createTimestamp modifiersName modifyTimestamp hasSubordinates pwdChangedTime
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=4 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=1 deref=0 filter="(objectClass=*)"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=4 SRCH attr=dn
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=4 SEARCH RESULT tag=101 err=0 nentries=0 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=5 SRCH base="dc=intranet,dc=company,dc=com,dc=pl" scope=2 deref=3 filter="(&(objectClass=posixGroup)(gidNumber=513))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=5 SRCH attr=dn description
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=6 UNBIND
Jan 28 22:05:40 server slapd[1348]: conn=1155 fd=30 closed
PS. Неудачные попытки входа в систему не должны иметь никакого влияния на другую машину.