[samba-jp:22491] Re: ADサーバ側でのユーザの認証履歴の取得について

[TAKAHASHI Motonobu]

たかはしもとのぶです。

> 2015-03-23 14:52 GMT+09:00 ODAGIRI Koji <odagiri ＠ osstech.co.jp>:
> 
>> OSSTech 小田切です。
>>
>>
>> > last には -w オプションがあるみたいですね。
>> >
>> >        -w     Display full user and domain names in the output.

遅れましたが、先の実行例は last -w の出力です。

> > ただ、このパラメータはあくまでファイルサーバとしての Samba に対する
> > ログオンの履歴の記録ですので、厳密には認証履歴その物ではありません。
> 
> 逆ではないですか？
> 
> この記録は、Sambaに対すする認証およびアクセス記録で
> ログオンしていた記録ではない
> 
> だと思います。

日本語が悪かったですが、言いたかったのは小田切さんと同じことです。

「**ファイルサーバとしての**Sambaに対するログオン」という表現で説明した
つもりでしたが、あくまで「Sambaに対する認証（ログオン）」の記録であり、
ADに対する認証（ログオン）履歴ではないという趣旨でした。

後、小田切さんには釈迦に説法だと思いますが、ADの「アカウントログオン」は
厳密にはKDCとしてのADからのTGTの発行ですので、ユーザー視点のログオンと
厳密に一対一対応はしないという点も留意する必要がありますね。

> > ログオンスクリプトで、ログオン履歴を取得する機構を作り込んだ方が
> > 確実だと思います。
> 
> これはよく相談されて実現を検討しますが、
> ログオンスクリプトはユーザー権限で動くので
> ユーザーがログイン履歴を改ざんすることが可能なことを理解しておく必要があ
> ります。
> 
> 改ざんされないようにテクニックを駆使すれば良いのですが．．．

確かにそうですね。

---
TAKAHASHI Motonobu <monyo ＠ monyo.com> / @damemonyo 
                   facebook.com/takahashi.motonobu