Overlay-Modul zur Aufzeichnung der letzten erfolgreichen LDAP-Anmeldung eines Kontos

6.8. Overlay-Modul zur Aufzeichnung der letzten erfolgreichen LDAP-Anmeldung eines Kontos#

Vorsicht

Bevor Sie diese Funktion verwenden, lesen Sie KB 14404 - Support-Artikel über die Aktivierung des lastbind Overlay-Moduls.

Das optionale lastbind Overlay-Modul für OpenLDAP ermöglicht die Aufzeichnung des Zeitstempels der letzten erfolgreichen LDAP-Anmeldung im authTimestamp Attribut und kann z.B. zur Erkennung nicht genutzter Konten verwendet werden.

Das lastbind Overlay-Modul kann aktiviert werden, indem die Univention Configuration Registry Variable ldap/overlay/lastbind auf yes gesetzt und der OpenLDAP-Server neu gestartet wird. Wenn das Modul auf einem UCS-Server aktiviert ist, wird der Zeitstempel einer erfolgreichen LDAP-Anmeldung eines Kontos, in das authTimestamp Attribut jenes Kontos geschrieben. Die Univention Configuration Registry Variable ldap/overlay/lastbind/precision kann verwendet werden, um die Zeit in Sekunden zu konfigurieren, die vergehen muss, bevor das authTimestamp Attribut aktualisiert wird. Dies verhindert eine große Anzahl von Schreiboperationen, die die Leistung beeinträchtigen können.

Das authTimestamp Attribut kann nur auf dem LDAP-Server abgefragt werden, auf dem das lastbind Overlay-Modul aktiviert ist. Es wird nicht auf andere LDAP-Server repliziert. Aus diesem Grund kann das Skript /usr/share/univention-ldap/univention_lastbind.py ausgeführt werden, um den jüngsten authTimestamp Wert von allen erreichbaren LDAP-Servern in der UCS-Domäne zu sammeln und in das erweiterte UDM Attribut lastbind eines Benutzers zu speichern. Das Skript kann aufgerufen werden, um das erweiterte Attribut lastbind eines oder aller Benutzer zu aktualisieren. Das erweiterte Attribut lastbind wird auf das LDAP-Attribut univentionAuthTimestamp abgebildet.

Eine Möglichkeit, das erweiterte Attribute lastbind aktuell zu halten, ist durch das Anlegen eines Cron-Jobs via UCR:

$ ucr set cron/update_lastbind_attribute/command='\
/usr/share/univention-ldap/univention_lastbind.py --allusers'\
  cron/update_lastbind_attribute/time='00 06 * * *'  # täglich um 06:00 Uhr.

Weitere Informationen über die Einstellung von Cron-Jobs über UCR können in Definition eigener Cron-Jobs in Univention Configuration Registry gefunden werden.