[samba-jp:22492] Re: ADサーバ側でのユーザの認証履歴の取得について

2015年 3月 24日 (火) 12:37:03 JST

OSSTech 小田切です。

> 日本語が悪かったですが、言いたかったのは小田切さんと同じことです。

たぶん私と高橋さんとでは言いたいことは一緒でしょう。


> 「**ファイルサーバとしての**Sambaに対するログオン」という表現で説明した
> つもりでしたが、あくまで「Sambaに対する認証（ログオン）」の記録であり、
> ADに対する認証（ログオン）履歴ではないという趣旨でした。
> 
> 後、小田切さんには釈迦に説法だと思いますが、ADの「アカウントログオン」は
> 厳密にはKDCとしてのADからのTGTの発行ですので、ユーザー視点のログオンと
> 厳密に一対一対応はしないという点も留意する必要がありますね。

TGTの有効期限（デフォルト１０時間？）とアイドル切断の時間（デフォルト
１５分？）は異なるので、Sambaのutmpや共有のpreexecは共有の接続、切断ログ
で、TGTの発行ログでは無いですよね？

TGTのやりとりと共有の接続（Sambaとのセッション確立、子プロセス起動）と
Windowsクライアントのログオン時刻とはどれも完全には一致しないということ
を知っておく必要がありますね。

（高橋さんは全部理解していると思うので、高橋さんに言ってるわけではないで
すが、共有認識として）


-- 
小田切 耕司 : odagiri ＠ osstech.co.jp  http://www.osstech.co.jp/
  オープンソース・ソリューション・テクノロジ株式会社

  PGP : http://pgp.nic.ad.jp/pks/lookup?op=index&search=0xC7701E58
  Key fingerprint = 1FAB E978 4F99 3AAE EC5A  C1B3 E6F5 3B80 C770 1E58

 エンジニア募集中！ http://www.osstech.co.jp/company/recruit