120.3. IdM 서버에서 감사 로깅 활성화
감사 목적으로 IdM(Identity Management) 서버에서 로깅을 활성화하려면 다음 절차를 따르십시오. 자세한 로그를 사용하여 데이터를 모니터링하고 문제를 해결하며 네트워크에서 의심 스러운 활동을 검사할 수 있습니다.
LDAP 서비스가 로깅된 경우 특히 값이 큰 경우 LDAP 서비스가 느려질 수 있습니다.
사전 요구 사항
- 디렉터리 관리자 암호
절차
LDAP 서버에 바인딩합니다.
$ ldapmodify -D "cn=Directory Manager" -W << EOF
- [Enter]를 누릅니다.
다음과 같이 수행할 모든 수정 사항을 지정합니다.
dn: cn=config changetype: modify replace: nsslapd-auditlog-logging-enabled nsslapd-auditlog-logging-enabled: on - replace:nsslapd-auditlog nsslapd-auditlog: /var/log/dirsrv/slapd-REALM_NAME/audit - replace:nsslapd-auditlog-mode nsslapd-auditlog-mode: 600 - replace:nsslapd-auditlog-maxlogsize nsslapd-auditlog-maxlogsize: 100 - replace:nsslapd-auditlog-logrotationtime nsslapd-auditlog-logrotationtime: 1 - replace:nsslapd-auditlog-logrotationtimeunit nsslapd-auditlog-logrotationtimeunit: day
-
새 줄에 EOF 를 입력하여
ldapmodify
명령의 끝을 나타냅니다. - [추가]를 두 번 누릅니다.
- 감사 로깅을 활성화하려는 다른 모든 IdM 서버에서 이전 단계를 반복합니다.
검증
/var/log/dirsrv/slapd-REALM_NAME/audit
파일을 엽니다.389-Directory/1.4.3.231 B2021.322.1803 server.idm.example.com:636 (/etc/dirsrv/slapd-IDM-EXAMPLE-COM) time: 20220607102705 dn: cn=config result: 0 changetype: modify replace: nsslapd-auditlog-logging-enabled nsslapd-auditlog-logging-enabled: on [...]
파일이 더 이상 비어 있지 않기 때문에 감사가 활성화되었는지 확인합니다.
중요시스템은 변경을 수행하는 항목의 바인딩된 LDAP 고유 이름(DN)을 기록합니다. 따라서 로그를 사후 처리해야 할 수 있습니다. 예를 들어 IdM Directory Server에서는 레코드를 수정한 AD 사용자의 ID를 나타내는 ID 덮어쓰기 DN입니다.
$ modifiersName: ipaanchoruuid=:sid:s-1-5-21-19610888-1443184010-1631745340-279100,cn=default trust view,cn=views,cn=accounts,dc=idma,dc=idm,dc=example,dc=com
pysss_nss_idmap.getnamebysid
Python 명령을 사용하여 사용자 SID가 있는 경우 AD 사용자를 조회합니다.>>> import pysss_nss_idmap >>> pysss_nss_idmap.getnamebysid('S-1-5-21-1273159419-3736181166-4190138427-500')) {'S-1-5-21-1273159419-3736181166-4190138427-500': {'name': 'administrator@ad.vm', 'type': 3}}
추가 리소스
- Red Hat Directory Server 설명서의 핵심 서버 구성 속성의 감사 로그 구성 옵션
- IPA/IDM Server 및 Replica Servers KCS 솔루션에 감사 로깅을 활성화하는 방법
- Directory Server 로그 파일