Wie protokolliere ich Authentifizierungsversuche mit Samba?

7

Ich habe Benutzer, die sich mit Squid (NTLM) bei einem Active Directory-Server mit Samba 3.5.4 authentifizieren, und ich möchte die Anmeldeversuche der Benutzer protokollieren.

Ich hätte gerne eine Zeile mit folgenden Angaben:
TIMESTAMP username@DOMAIN SUCCESS/FAILURE

samba logging squid ntlm Harley
quelle

Antworten:

4

Wenn Sie die log levelZeile /etc/samba/smb.confzum Lesen ändern :

log level = 1 winbind:5

Sie erhalten die Informationen, nach denen ich suche (standardmäßig angemeldet /var/log/samba/log.DOMAIN), aber sie sind sehr laut und die Protokollnachrichten sind auf zwei Zeilen aufgeteilt. Nicht genau das, wonach ich suche, aber es könnte tun müssen.

Harley
quelle
3
Ich bin mir nicht sicher, warum Sie am Anfang "log level:" setzen. Funktioniert viel besser ohne! Außerdem habe ich versucht zu verstehen, warum eine Anmeldung fehlgeschlagen ist, und ich habe verwendet: log level = 10 all:10um wirklich alle Informationen zu erhalten. Auf der Handbuchseite werden auch alle anderen Funktionen wie Windbind und Passwd aufgelistet.
Alexis Wilke
Ich habe versucht herauszufinden, mit welchem ​​Benutzernamen das Windows-Konto verbunden ist, um die Benutzernamenzuordnung ordnungsgemäß auszufüllen. Die Antwort von @AlexisWilke half dabei.
Exhuma
0

In den Samba-Protokolldateien werden authentifizierungsbezogene Informationen mit dem check_ntlm_passwordModul gekennzeichnet (vorausgesetzt, Sie verwenden diese). Wenn Sie Datum und Uhrzeit wünschen, müssen Sie die Zeile vor der mit den tatsächlichen Informationen erfassen.

Hier sind einige Beispiele. Der Name des Benutzers wurde xxx.yyyin allen Fällen durch ersetzt. Beachten Sie, wie sich die Großschreibung authenticationfür Erfolgs- und Misserfolgsfälle unterscheidet.

[2011/11/08 10:22:40.604819,  2] auth/auth.c:304(check_ntlm_password)
  check_ntlm_password:  authentication for user [xxx.yyy] -> [xxx.yyy] -> [xxx.yyy] succeeded

[2012/01/11 09:09:00.430424,  2] auth/auth.c:314(check_ntlm_password)
  check_ntlm_password:  Authentication for user [xxx.yyy] -> [xxx.yyy] FAILED with error NT_STATUS_WRONG_PASSWORD

Über diese beiden hinaus gibt es noch andere Nachrichten. Diese Linien wurden von einem Samba aus dem Backports-Repository von Lenny hergestellt. Die Samba-Version ist 3.5.6, die aktuelle Paketversion ist 2: 3.5.6 ~ dfsg-3 ~ bpo50 + 1. Die genaue Konfiguration für die Anmeldung smb.confwar:

syslog = 0
debug level = 2
log file = /var/log/samba/%m.log
max log size = 1024
panic action = /usr/share/samba/panic-action %d
Daniel C. Sobral
quelle
-1

Wenn Sie auf AD klicken, sollten die Anmeldeversuche im "Sicherheitsprotokoll" angezeigt werden. Es sollte nicht nur den Benutzernamen enthalten, sondern auch die Quell-IP (die Ihr Squid-Host sein sollte).

Hier ist ein guter Artikel zum Einrichten: http://www.windowsecurity.com/articles/windows-active-directory-auditing.html

Ich würde jedoch auf den Erfolg der Prüfung hinweisen, da dies dazu neigt, die Protokolle schnell zu füllen.

Eric C. Singer
quelle