我有一个用户的帐户不断被锁定,因为另一台机器试图使用旧的、错误的密码登录,从而锁定了该用户的帐户......
用户不知道哪台机器可以做到这一点......
有什么方法可以获取尝试登录的远程机器的 IP?我已经查看了日志,但没有找到任何明确的信息...
顺便说一下,身份验证是通过 LDAP 进行的。
答案1
你没有写出你是如何“分割日志”的,我猜你做错了。将下面的行添加到你的smb.conf
文件中[global]
:
# log files split per-machine: log file = /var/log/samba/log.%m
现在/var/log/samba/
你应该看到:
[root@server samba]# ls -l total 52 drwx------. 5 root root 43 Jan 28 05:40 cores -rw-r--r-- 1 root root 0 Jun 3 03:45 log. -rw-r--r-- 1 root root 0 May 28 20:42 log.10.0.6.100 .... -rw-r--r-- 1 root root 0 May 29 03:31 log.winxp ...
您也可以尝试通过设置使 Samba 更加详细:
log level = 2
甚至3
。 (另见[global]
部分)
如果您的 LDAP 服务器是 OpenLDAP,那么也尝试对其进行调试。您可以添加:
loglevel 512
并slapd.conf
配置 rsyslog 以将 LDAP 日志重定向到另一个文件/var/log/messages
,或者syslog
通过debug
添加rsyslog.conf
:
local4.* -/var/log/ldap.log
示例输出:
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=0 BIND dn="uid=administrator,ou=users,dc=intranet,dc=company,dc=com,dc=pl" method=128
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=0 BIND dn="uid=administrator,ou=users,dc=intranet,dc=company,dc=com,dc=pl" mech=SIMPLE ssf=0
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=0 RESULT tag=97 err=0 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=1 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=0 deref=0 filter="(&(objectClass=*))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=1 SRCH attr=* +
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=2 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=0 deref=0 filter="(&(objectClass=*))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=2 SRCH attr=* 1.1
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=3 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=0 deref=0 filter="(&(objectClass=*))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=3 SRCH attr=+ creatorsName createTimestamp modifiersName modifyTimestamp hasSubordinates pwdChangedTime
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=4 SRCH base="uid=a.kozlowska,ou=users,dc=intranet,dc=company,dc=com,dc=pl" scope=1 deref=0 filter="(objectClass=*)"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=4 SRCH attr=dn
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=4 SEARCH RESULT tag=101 err=0 nentries=0 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=5 SRCH base="dc=intranet,dc=company,dc=com,dc=pl" scope=2 deref=3 filter="(&(objectClass=posixGroup)(gidNumber=513))"
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=5 SRCH attr=dn description
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jan 28 22:05:40 server slapd[1348]: conn=1155 op=6 UNBIND
Jan 28 22:05:40 server slapd[1348]: conn=1155 fd=30 closed
PS. 登录失败不会对其他机器造成任何影响。