es sollte zumindest - wie in der 6.2 und früher - möglich sein nachzuvollziehen, wer in welchem Zeitraum wo eingeloggt war. Und an anderer Stelle. Welcher Rechner welche Webseite besucht hat.
Vielleicht weis jemand von den @Entwickler wo man solche Logs findet.
When using Kerberos authentication, the KDC is responsible for authentication. Therefore, Samba on an AD domain member can not log the authentication event.
Was wohl auf uns zutrifft. Wie man den KDC dazu bringt, Authentication zu loggen, weiß ich nicht. Vielleicht weiß jemand, wie das geht…
Naja, man sieht eben dann im Samba log, wer sich wann an welchem Rechner angemeldet hat. Insofern ist es schon eine Lösung. Was noch schön wäre, wenn man mit „Namen“ sieht, wann man sich abgemeldet hat. Das ist nicht so.
Man kann das natürlich noch in ein Skript packen und aufhübschen oder noch andere Dinge erledigen. Das „root“ ist nicht erforderlich, wenn man die Dateirechte des Logfiles richtig setzt.
Hallo Jörg,
ok – ich frage nur deshalb, weil sich ja noch mehr geändert hat und SAMBA jetzt als AD dient … und wie Matthias schon in #5 richtig gestellt hat: „Therefore, Samba on an AD domain member can not log the authentication event.“ – vielleicht widersprechen sich aus diesem Grund hier gerade einige Beiträge??
Nachtrag: Mit den Einträgen werden jetzt imho alle Anmeldungen in die Log-Datei geschrieben, also auch alle, die sich an Moodle usw anmelden. Geht vielleicht etwas zu weit bzw ist unnötig, da ja eigentlich nur die Anmeldungen an die Rechner in der Schule von Interesse sind?!?
/„Therefore, Samba on an AD domain member can not log the
authentication event.“/
Unser Samba ist der AD-Controller, nicht nur „domain member“. Und mit
dem Audit-Logging geht es ja auch, die Information ist also da.
Aber wie gesagt kann ich es nicht testen, meiner VM-Umgebung fehlt noch
der Client - ein solcher Test ist aber schnell erledigt.
Es klappt also, das ist schon mal gut. Wenn zu viel ins Log geschrieben wird, dann würde ich doch keinen Einzeiler nehmen, sondern ein gesondertes Skript. Da kann man dann leicht Anmeldungen von Moodle, Nextcloud und anderen Diensten herausfiltern. Oder man loggt z. B. nach /pfad/zum/login-%m.log, dann ist es auch gleich schön nach Rechnern sortiert.
… ich habe gesehen, dass alle eigenen Änderungen + Feintuning in die Datei smb.conf.admin eingetragen werden sollen: # add here your custom admin stuff
das mit dem log file = /var/log/samba.log.%m => 1 Logdatei pro Rechner habe ich dann nicht gemacht. Ich habe jetzt nur dieses auth_audit:3 drin und nach drei Tagen ist mein samba log nun 8613038 Bytes lang. Es geht. Ist aber irgendwie trotzdem unübersichtlich. Aber natürlich besser als gar nichts.
Danke für die Issue, die Webui ist aber der falsche Ort, deswegen werde ich es schliessen. Das Loggen soll man im Kern von linuxmuster.net einstellen, d.h. linuxmuster-base oder sophomorix. Aber erst man muss man differenzieren, was man loggen will :
Wer sich an einem Computer anmeldet ?
Das ist eindeutig eine Sambasache, und hier gibt es schon Tipps wie man Samba konfigurieren kann, um es zu loggen. Aber die Anmeldung unter Windows Clients und Linux Client ist die gleiche : beim Linux Client läuft es mit Kerberos Ticket.
Ich werde selber es die nächste Wochen testen, da ich es auch brauche.
Wer welche Webseite besucht ?
Das ist ein bisschen polemisch, und es kommt darauf an welche Firewall / Proxy Lösung jeder nutzt. Meistens ist es OPNSense, ich kenne da nicht die angepasste Option.
Welcher Admin welche Änderung vornimmt ?
Man kann vieles in die Webui konfigurieren, aber der Kern da ist sophomorix, der vieles unter /var/log/sophomorix loggt. Die Webui kann auch alle ausgefürhte Kommandozeile loggen ( ich meine Befehl, die aus der Webui ausgefürht sind ) loggen.
Wer sich an die Webui sich anmeldet ?
Das ist automatisch in /var/log/ajenti geloggt. Man kann den DEBUG Modus aktivieren indem man folgendes in /lib/systemd/system/linuxmuster-webui.service ändert :
sorry, dass ich noch nicht geantwortet habe. Diese Woche ist bei mir vollkommen verplant. Ich habe die passende Stelle für das Issue nicht gefunden. Nochmal Sorry, dass ich Dir damit Arbeit gemacht habe.