Добавление / изменение атрибута ведения журнала в openldap
Я хочу оставаться в openldap для аудита. Поэтому я добавляю файл olcAuditlogConfig. Но olcAuditlogConfig остается ldapadd, ldapmodify, ldapdelete ... cmd.
мы использовали phpldapadmin, а не оставался журнал.
Помимо наложения журнала аудита, существует также наложение, которое называется журналом доступа. Вы можете найти больше об этом в man 5 slapo-accesslog , в http://www.zytrax.com/books/ldap/ch6/accesslog.html или
http://www.openldap.org/doc/admin24/overlays.html#Access%20Logging
Это немного сложнее настроить, чем auditlog, потому что вам нужно настроить другую базу данных в вашем cn = config (или backend config), куда может записывать этот оверлей; однако вы получите взамен очень подробные журналы.
Используя cn = config, ваше наложение может, например, выглядеть следующим образом:
dn: olcOverlay = accesslog, olcDatabase = {1} mdb, cn = config
objectClass: olcOverlayConfig
objectClass: olcAccessLogConfig
olcOverlay: журнал доступа
olcAccessLogDB: cn = журнал доступа
olcAccessLogOps: читает
olcAccessLogPurge: 07 + 00: 00 01 + 00: 00
olcAccessLogSuccess: TRUE
Этот оверлей выполняет вход в DIT cn = accesslog , который я создал следующим образом:
dn: olcDatabase = {2} mdb, cn = config
objectClass: olcMdbConfig
olcDatabase: {2} mdb
olcDbDirectory: / var / lib / ldap / accesslog
olcSuffix: cn = журнал доступа
olcRootDN: cn = admin, cn = config
olcDbIndex: эквалайзер по умолчанию
olcDbIndex: entryCSN, objectClass, reqEnd, reqResult, reqStart
Не забудьте создать каталог, указанный в olcDbDirectory , и заранее предоставить пользователю системы openLDAP доступ на запись!