[samba-jp:22483] Re: ADサーバ側でのユーザの認証履歴の取得について

[TAKAHASHI Motonobu]

たかはしもとのぶです。

>>(1) smb.conf で wtmp = yes とする
> 
> 現状、SAMBA ADサーバ側のsmb.confに指定したところ、パラメータが不正なようです。
> Unknown parameter encountered: "wtmp"

utmp = yes ですね。手元の環境で設定したところ、機能しました。
以下のような感じで記録されます。

-----
ADDOM1\SAMBADC3$ smb/40657929 192.168.135.51   Sun Mar 22 21:22   still logged in
ADDOM1\WIN2K3R2ENT-1$ smb/29117697 192.168.135.20   Sun Mar 22 21:21 - 21:22  (00:00)
ADDOM1\Administrator smb/33676487 192.168.135.20   Sun Mar 22 21:21   still
logged in
-----

ただ、このパラメータはあくまでファイルサーバとしての Samba に対する
ログオンの履歴の記録ですので、厳密には認証履歴その物ではありません。

ログオン時に SYSVOL 共有へのアクセスが発生するので、どこかの
ドメインコントローラに対して、何らかの記録は行われると思いますが、
それ以外のタイミングでのアクセス履歴も記録されるので、抽出するのは
大変そうです。

ログオンスクリプトで、ログオン履歴を取得する機構を作り込んだ方が
確実だと思います。

>>(2) [IPC$]共有に preexec や postexec を指定して
> 
> こちらはAD認証の時にも有効なパラメータでしょうか？

こちらも同等で、ログオン時の認証以外でも記録されるときは記録
されます。

とはいえ、

>　または、ユーザが過去何日間ログインしていないか（最終の認証日付等）を
>　取得することは可能でしょうか。

という情報であれば、実質的には同等の情報が取得できると思います。
なお、DCが複数台ある場合、特殊な設定を行わない限りはどのDCでも認証が
行われる可能性があるので、その点は留意してください。

---
TAKAHASHI Motonobu <monyo ＠ monyo.com> / @damemonyo 
                   facebook.com/takahashi.motonobu