[samba-jp:22481] Re: ADサーバ側でのユーザの認証履歴の取得について

2015年 3月 21日 (土) 22:31:06 JST

OSSTech 小田切です。
> お世話になっております。草間です。

誰も回答してないですよね?
> ■しかく質問事項
>  ユーザの認証(ログイン)履歴をADサーバ側で取得することは可能でしょうか。

はい、可能ですが、いくつか方法があります。
(1) smb.conf で wtmp = yes とする
lastやac コマンドで統計が取れる
(2) [IPC$]共有に preexec や postexec を指定して
ログイン、ログオフでスクリプトを動かしてログを取る
>  または、ユーザが過去何日間ログインしていないか(最終の認証日付等)を
>  取得することは可能でしょうか。

上記の方法で(1) last で調べてスクリプトを書く
(2) 自分でログ解析するスクリプトを書く
>  上記構成でSAMBAをADとしてLinux/Windowsのユーザ管理を実施しております。
>>  Windows側のみであれば、net user USERNAME /domain コマンドで最終ログイン日付を
>  取得できそうですが、Linux側の情報も含めて取得することを考えた場合にSAMBA ADサーバ
>  側で取得する方法がないか、検討しております。
>  また、過去数ヵ月ログインしていないユーザを無効化する方法を考えております。

上記のスクリプトの中でユーザーを無効化する方法もありますが、
パスワードの有効期限を設定して、パスワードを変更していないユーザーをアカ
ウントロックする方が簡単でセキュアだと思います。
-- 
小田切 耕司 : odagiri @ osstech.co.jp http://www.osstech.co.jp/
 オープンソース・ソリューション・テクノロジ株式会社
 PGP : http://pgp.nic.ad.jp/pks/lookup?op=index&search=0xC7701E58
 Key fingerprint = 1FAB E978 4F99 3AAE EC5A C1B3 E6F5 3B80 C770 1E58
 エンジニア募集中! http://www.osstech.co.jp/company/recruit