Paolo Pisati wrote: >>> 3) e' possibile conoscere da LDAP gli accessi degli utenti alle varie >>> macchine ed alcune operazioni (ad esempio i comandi sudo) da essi >>> eseguiti? ad esempio e' possibile ottenere un log di queste >>> operazioni? >>> >> >> Non e' chiara la domanda; se qualche applicazione si occupa di scriverlo >> nel database, allora basta una ldapsearch(1). Altrimenti non capisco >> che cosa LDAP abbia a che fare con il logging di altri comandi. >> > uhm, in effetti mi sarebbe piaciuto poter "centralizzare" i log, cioe' > distinguere le > ricerche sulla directory LDAP in base alla loro provenienza: > > dal comando sudo, dal client pam/sshd, etetc > > ma capisco che la cosa non e' fattibile.
Non e' che non sia fattibile in assoluto, solo non dipende dal server ma dal client farsi riconoscere. Ad esempio, se per ogni client crei un'utenza di servizio, ad esempio "cn=sudo admin,...", "cn=pam admin,..." ecc., e fai usare questa utenza da ogni applicazione per autenticarsi prima di svolgere un'operazione (ad esempio, di solito pam cerca il DN dell'utente in base alla uid per poi fare una simple bind o comunque verificare in qualche modo la password; potresti far autenticare pam con l'utenza "cn=pam admin,..." prima di svolgere la ricerca). In ogni caso, il log finirebbero in un file unico, che pero' potresti parsare con uno script per estrarre le informazioni che ti servono; oppure potresti usare lo slapo-accesslog per far mettere i log in un database, che poi potresti interrogare via LDAP usando l'attributo reqAuthzID per discriminare le operazioni in base all'applicazione. La vera soluzione "elegante" LDAP, che pero' richiede la modifica dei client, consiste nell'usare il controllo definito nella <draft-wahl-ldap-session>, che e' supportata da OpenLDAP 2.4. In questo caso, il client definisce una stringa che il server poi mostra nei log come prefisso a tutti i log legati a quella operazione. Ciao, p. Ing. Pierangelo Masarati OpenLDAP Core Team SysNet s.r.l. via Dossi, 8 - 27100 Pavia - ITALIA http://www.sys-net.it --------------------------------------- Office: +39 02 23998309 Mobile: +39 333 4963172 Email: [EMAIL PROTECTED] --------------------------------------- _______________________________________________ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
