9.3. Activation de la journalisation d'audit sur un serveur IdM
Cette procédure décrit comment activer la journalisation sur un serveur de gestion des identités (IdM) à des fins d'audit. Les journaux détaillés permettent de contrôler les données, de résoudre les problèmes et d'examiner les activités suspectes sur le réseau.
Le service LDAP peut devenir plus lent si de nombreuses modifications LDAP sont enregistrées, en particulier si les valeurs sont importantes.
Conditions préalables
- Le mot de passe du gestionnaire de répertoire
Procédure
Liaison avec le serveur LDAP :
$ ldapmodify -D "cn=Directory Manager" -W << EOF
- Appuyez sur [Enter].
Spécifiez toutes les modifications que vous souhaitez apporter, par exemple :
dn: cn=config changetype: modify replace: nsslapd-auditlog-logging-enabled nsslapd-auditlog-logging-enabled: on - replace:nsslapd-auditlog nsslapd-auditlog: /var/log/dirsrv/slapd-REALM_NAME/audit - replace:nsslapd-auditlog-mode nsslapd-auditlog-mode: 600 - replace:nsslapd-auditlog-maxlogsize nsslapd-auditlog-maxlogsize: 100 - replace:nsslapd-auditlog-logrotationtime nsslapd-auditlog-logrotationtime: 1 - replace:nsslapd-auditlog-logrotationtimeunit nsslapd-auditlog-logrotationtimeunit: day
-
Indiquez la fin de la commande
ldapmodify
en entrant EOF sur une nouvelle ligne. - Appuyez deux fois sur [Enter].
- Répétez les étapes précédentes sur tous les autres serveurs IdM sur lesquels vous souhaitez activer la journalisation des audits.
Vérification
Ouvrez le fichier
/var/log/dirsrv/slapd-REALM_NAME/audit
:389-Directory/1.4.3.231 B2021.322.1803 server.idm.example.com:636 (/etc/dirsrv/slapd-IDM-EXAMPLE-COM) time: 20220607102705 dn: cn=config result: 0 changetype: modify replace: nsslapd-auditlog-logging-enabled nsslapd-auditlog-logging-enabled: on [...]
Le fait que le fichier ne soit plus vide confirme que l'audit est activé.
ImportantLe système enregistre le nom distinctif LDAP lié (DN) de l'entrée qui effectue une modification. C'est pourquoi il peut être nécessaire de post-traiter le journal. Par exemple, dans le serveur d'annuaire IdM, c'est un ID override DN qui représente l'identité d'un utilisateur AD qui a modifié un enregistrement :
$ modifiersName: ipaanchoruuid=:sid:s-1-5-21-19610888-1443184010-1631745340-279100,cn=default trust view,cn=views,cn=accounts,dc=idma,dc=idm,dc=example,dc=com
Utilisez la commande Python
pysss_nss_idmap.getnamebysid
pour rechercher un utilisateur AD si vous disposez du SID de l'utilisateur :>>> import pysss_nss_idmap >>> pysss_nss_idmap.getnamebysid('S-1-5-21-1273159419-3736181166-4190138427-500')) {'S-1-5-21-1273159419-3736181166-4190138427-500': {'name': 'administrator@ad.vm', 'type': 3}}
Ressources supplémentaires