Configurer l'annuaire LDAP
Pour cette notre technique, nous utilisons l'annuaire LDAP non Microsoft Samba 4 qui est installé sur une machine avec le système d'exploitation Ubuntu 18.04 LTS.
Configurer pour tracer les événements d'authentification
Éditez le fichier de configuration de l'annuaire LDAP Samba 4 selon le contexte d'utilisation adapté à votre situation. Le chemin vers ce fichier peut être différent selon votre installation.
Dans notre exemple, le fichier se situe à l'emplacement /usr/local/samba/etc/smb.conf et contient la configuration suivante :
log level = 3
vfs object = full_audit
full_audit:success = connect
full_audit:failure = disconnect
full_audit:prefix = %u %I | %S
full_audit:facility = local5
| Paramètre | Détail |
| log level |
Permet de définir les événements à tracer. Le niveau "3" permet notamment de conserver des logs des événements d'authentification. |
| vfs object | Correspond au module VFS utilisé par Samba. Dans notre exemple, nous avons besoin d'utiliser le module "full_audit". |
| full_audit:success |
Permet d'établir la liste des opérations VFS qui doivent être tracées si elles réussissent. Dans notre cas, nous ajoutons "connect" pour tracer les opérations de connexion. Le phénomène inverse existe pour les opérations qui échouent avec le paramètre "full_audit:failure". |
| full_audit:prefix |
Permet de définir le format utilisé pour générer les logs. Personnalisez-le avec des variables qui font référence à des éléments précis, comme "%u" qui correspond au nom d'utilisateur utilisé. Ces logs étant transmis au serveur Syslog du SN SSO Agent qui les analyse grâce à des expressions régulières, définissez leur format en accord avec les éléments que vous souhaitez transmettre. |
| full_audit:facility |
Permet d'associer à un système applicatif les logs que nous souhaitons envoyer au serveur Syslog du SN SSO Agent. |
Pour plus d'informations, reportez-vous à la documentation officielle pour configurer Samba ainsi qu'à la documentation officielle du module VFS "full_audit" de Samba.
Une fois la configuration modifiée, exécutez cette commande pour que le démon recharge sa configuration et l'applique :
smbcontrol all reload-config
Configurer l'envoi des logs
L'annuaire LDAP Samba 4 s'appuie sur un client Syslog lui permettant d'envoyer des logs au format Syslog vers le serveur Syslog du SN SSO Agent.
Dans le répertoire /etc/rsyslog.d/, créez un fichier portant le nom "00-samba.conf". Ajoutez-y la configuration souhaitée en respectant le format suivant :
facility.syslogseverity @ip:port
Dans notre exemple, nous utilisons la configuration suivante :
local5.notice @172.30.227.74:3514
| Paramètre | Détail |
| facility |
Permet de définir le système applicatif pour lequel le client Syslog récupère les logs. Dans notre exemple, il correspond au paramètre "full_audit:facility" renseigné dans la configuration de l'annuaire LDAP Samba 4. |
| syslogseverity |
Correspond au niveau de criticité des logs Syslog. Avec le système applicatif (facility) renseigné, ceci détermine les logs qui sont transmis au serveur Syslog du SN SSO Agent. |
| @ |
Spécifie l'utilisation du mode UDP pour l'envoi des logs. Les échanges avec le serveur Syslog du SN SSO Agent doivent s'effectuer en UDP. |
| ip:port |
Correspond à l'adresse IP du SN SSO Agent vers lequel les logs sont envoyés, ainsi que le numéro de port sur lequel son serveur Syslog écoute. Nous recommandons d'utiliser un port supérieur ou égal à 1024. Pour utiliser un port inférieur à 1024, SN SSO Agent doit être démarré avec des droits administrateur (sudo). |
Pour plus d'informations, reportez-vous à la documentation officielle Syslog.
Une fois le fichier de configuration ajouté, exécutez cette commande pour redémarrer le démon rsyslog :
sudo service rsyslog restart