9.3. IdM サーバーでの監査ロギングの有効化
監査目的で Identity Management (IdM) サーバーでのロギングを有効にするには、次の手順に従います。詳細なログを使用すると、データの監視、問題のトラブルシューティング、ネットワーク上の疑わしいアクティビティーを確認できます。
特に値が大きい場合など、多くの LDAP 変更がログに記録されている場合、LDAP サービスが遅くなることがあります。
前提条件
- Directory Manager のパスワード
手順
LDAP サーバーにバインドします。
$ ldapmodify -D "cn=Directory Manager" -W << EOF
- [Enter] を押します。
作成するすべての変更を指定します。以下に例を示します。
dn: cn=config changetype: modify replace: nsslapd-auditlog-logging-enabled nsslapd-auditlog-logging-enabled: on - replace:nsslapd-auditlog nsslapd-auditlog: /var/log/dirsrv/slapd-REALM_NAME/audit - replace:nsslapd-auditlog-mode nsslapd-auditlog-mode: 600 - replace:nsslapd-auditlog-maxlogsize nsslapd-auditlog-maxlogsize: 100 - replace:nsslapd-auditlog-logrotationtime nsslapd-auditlog-logrotationtime: 1 - replace:nsslapd-auditlog-logrotationtimeunit nsslapd-auditlog-logrotationtimeunit: day
-
新しい行で EOF を入力して、
ldapmodify
コマンドの最後を示します。 - [Enter] を 2 回押します。
- 監査ロギングを有効にする他のすべての IdM サーバーで直前の手順を繰り返します。
検証
/var/log/dirsrv/slapd-REALM_NAME/audit
ファイルを開きます。389-Directory/1.4.3.231 B2021.322.1803 server.idm.example.com:636 (/etc/dirsrv/slapd-IDM-EXAMPLE-COM) time: 20220607102705 dn: cn=config result: 0 changetype: modify replace: nsslapd-auditlog-logging-enabled nsslapd-auditlog-logging-enabled: on [...]
ファイルが空ではない場合には、監査が有効になっていることが分かります。
重要システムは、変更を行うエントリーのバインドされた LDAP 識別名 (DN) をログに記録します。このため、ログを後処理する必要がある場合があります。たとえば、IdM Directory Server では、レコードを変更する AD ユーザーの ID を表す ID オーバーライド DN になります。
$ modifiersName: ipaanchoruuid=:sid:s-1-5-21-19610888-1443184010-1631745340-279100,cn=default trust view,cn=views,cn=accounts,dc=idma,dc=idm,dc=example,dc=com
SID ユーザーがある場合は、
pysss_nss_idmap.getnamebysid
Python コマンドを使用して AD ユーザーを検索します。>>> import pysss_nss_idmap >>> pysss_nss_idmap.getnamebysid('S-1-5-21-1273159419-3736181166-4190138427-500')) {'S-1-5-21-1273159419-3736181166-4190138427-500': {'name': 'administrator@ad.vm', 'type': 3}}
関連情報
- Red Hat Directory Server ドキュメントの Core サーバー設定属性 の監査ログ設定オプション
- IPA/IDM サーバーおよびレプリカサーバーの KCS で監査ロギングを有効にする方法
- Directory Server のログファイル