[samba-jp:22481] Re: ADサーバ側でのユーザの認証履歴の取得について

[ODAGIRI Koji]

OSSTech 小田切です。

> お世話になっております。草間です。

誰も回答してないですよね？

> ■質問事項
> 　　ユーザの認証（ログイン）履歴をADサーバ側で取得することは可能でしょうか。

はい、可能ですが、いくつか方法があります。

(1) smb.conf で wtmp = yes とする
lastやac コマンドで統計が取れる

(2) [IPC$]共有に preexec や postexec を指定して
ログイン、ログオフでスクリプトを動かしてログを取る

> 　　または、ユーザが過去何日間ログインしていないか（最終の認証日付等）を
> 　　取得することは可能でしょうか。

上記の方法で(1) last で調べてスクリプトを書く
(2) 自分でログ解析するスクリプトを書く

> 　　上記構成でSAMBAをADとしてLinux/Windowsのユーザ管理を実施しております。
> 
> 　　Windows側のみであれば、net user USERNAME /domain　コマンドで最終ログイン日付を
> 　　取得できそうですが、Linux側の情報も含めて取得することを考えた場合にSAMBA ADサーバ
> 　　側で取得する方法がないか、検討しております。
> 　　また、過去数ヵ月ログインしていないユーザを無効化する方法を考えております。

上記のスクリプトの中でユーザーを無効化する方法もありますが、
パスワードの有効期限を設定して、パスワードを変更していないユーザーをアカ
ウントロックする方が簡単でセキュアだと思います。



-- 
小田切 耕司 : odagiri ＠ osstech.co.jp  http://www.osstech.co.jp/
  オープンソース・ソリューション・テクノロジ株式会社

  PGP : http://pgp.nic.ad.jp/pks/lookup?op=index&search=0xC7701E58
  Key fingerprint = 1FAB E978 4F99 3AAE EC5A  C1B3 E6F5 3B80 C770 1E58

 エンジニア募集中！ http://www.osstech.co.jp/company/recruit