[samba-jp:22494] Re: ADサーバ側でのユーザの認証履歴の取得について

TAKAHASHI Motonobu monyo @ monyo.com
2015年 3月 26日 (木) 00:52:51 JST


たかはしもとのぶです。

> From: ODAGIRI Koji <odagiri @ osstech.co.jp>
> Date: Tue, 24 Mar 2015 12:37:03 +0900
> 
> OSSTech 小田切です。
> 
>> 「**ファイルサーバとしての**Sambaに対するログオン」という表現で説明した
>> つもりでしたが、あくまで「Sambaに対する認証(ログオン)」の記録であり、
>> ADに対する認証(ログオン)履歴ではないという趣旨でした。
>> 
>> 後、小田切さんには釈迦に説法だと思いますが、ADの「アカウントログオン」は
>> 厳密にはKDCとしてのADからのTGTの発行ですので、ユーザー視点のログオンと
>> 厳密に一対一対応はしないという点も留意する必要がありますね。
> 
> TGTの有効期限(デフォルト10時間?)とアイドル切断の時間(デフォルト
> 15分?)は異なるので、Sambaのutmpや共有のpreexecは共有の接続、切断ログ
> で、TGTの発行ログでは無いですよね?

その認識です。TGT の発行ログ自体は、現状の Samba だとうまく取得できない
ような気がします (違ってたらごめんなさい)。
 
> TGTのやりとりと共有の接続(Sambaとのセッション確立、子プロセス起動)と
> Windowsクライアントのログオン時刻とはどれも完全には一致しないということ
> を知っておく必要がありますね。

そう思います。このあたり、Samba の話以前に Windows 系の人でもきちんと
理解している人はあまりいないなと思ってます。

---
TAKAHASHI Motonobu <monyo @ monyo.com> / @damemonyo 
                   facebook.com/takahashi.motonobu



samba-jp メーリングリストの案内