В сети установлен сервак под FreeBSD 7.2 на котором стоит сквид и samba подрубленная к Active Directory. Самба в AD авторизует пользователей на сквиде, каждые 15 минут происходит пересчет трафика потребленного каждым юзверем через сквид. Когда юзер превышает выделенный ему лимит, он попадает в специальный файл (denied_users) и доступ в дальнешем ему запрещен до конца месяца (конфиг сквида):

acl denied_users proxy_auth "/usr/local/etc/squid/denied_users"

Так вот, если имя пользователя в этом файле, M$ IE выкидывает окно авторизации предлагая ввести логин и пароль. И некоторые уроды зная логин других пользователей начинают пытаться подобрать пароль другого юзера. Политика на AD настостроена так, что если было пять неверных попыток ввести пароль, учетка блокируется.

Как вычислить IP машины с которой происходят такие вот дела, чтобы настучать этому уроду по башке ибо невинные юзеры при этом страдают из-за блокировки учетки. В основное своей массе юзеры вменяемые и до настоящего момента таких проблем не было. Но вот завелась паршивая овца.

В логах винды светится юникс сервак с которого была неудачная попытка, но я так понимаю, что это из-за самбы.

Что можно включить в самбе, чтобы было видно с какого IP были неудачные попытки авторизоваться в AD?

• SQUID & samba & AD & неверный пароль,PavelR, 18:22 , 11-Ноя-09
• SQUID & samba & AD & неверный пароль,Skif, 22:16 , 11-Ноя-09
  • SQUID & samba & AD & неверный пароль,F8, 04:46 , 13-Ноя-09
• SQUID & samba & AD & неверный пароль,PJ, 11:03 , 13-Ноя-09
  • SQUID & samba & AD & неверный пароль,F8, 04:40 , 14-Ноя-09

>[оверквотинг удален]
>Как вычислить IP машины с которой происходят такие вот дела, чтобы настучать
>этому уроду по башке ибо невинные юзеры при этом страдают из-за
>блокировки учетки. В основное своей массе юзеры вменяемые и до настоящего
>момента таких проблем не было. Но вот завелась паршивая овца.
>
>В логах винды светится юникс сервак с которого была неудачная попытка, но
>я так понимаю, что это из-за самбы.
>
>Что можно включить в самбе, чтобы было видно с какого IP были
>неудачные попытки авторизоваться в AD?

Если мне не изменяет память, то можно всё завернуть на SquidGuard, и заблокировать доступ уже в нем. Прокся как бы пустит, но не туда - запроса авторизации не будет.

less /path_to_samba/log/access.log (обычно /usr/local/samba/log/acces.log)
Смотри, изучай

>less /path_to_samba/log/access.log (обычно /usr/local/samba/log/acces.log)
>Смотри, изучай

У меня такого файла нет. Гуглил, но что-то так и не нашел какой опцией в конфиге самбы включается данный лог. :(

>
>Как вычислить IP машины с которой происходят такие вот дела, чтобы настучать
>этому уроду по башке ибо невинные юзеры при этом страдают из-за
>блокировки учетки. В основное своей массе юзеры вменяемые и до настоящего
>момента таких проблем не было. Но вот завелась паршивая овца.
>
>В логах винды светится юникс сервак с которого была неудачная попытка, но
>я так понимаю, что это из-за самбы.
>Что можно включить в самбе, чтобы было видно с какого IP были
>неудачные попытки авторизоваться в AD?

скорее уж в access.log посмотреть соответствие с какого IP под каким логином был запрос. Да, и access.log - это файл не samba, а squid

>[оверквотинг удален]
>>момента таких проблем не было. Но вот завелась паршивая овца.
>>
>>В логах винды светится юникс сервак с которого была неудачная попытка, но
>>я так понимаю, что это из-за самбы.
>>Что можно включить в самбе, чтобы было видно с какого IP были
>>неудачные попытки авторизоваться в AD?
>
>скорее уж в access.log посмотреть соответствие с какого IP под каким логином
>был запрос. Да, и access.log - это файл не samba, а
>squid

Вы в курсе, что если в squid не проходит авторизация, то он не пишет логин в лог, так как его нет. Есть только запись - TCP_DENIED/407... Но учитывая особенность работы связки squid + AD + IE (пароль как бы посылается прозрачно сквиду, юзер его ввел при входе в локалку), там таких записей очень много, потому как IE, первые две попытки пытается делать неавторизовано, а на третью посылает логин с паролем.