Zeitpunkt der letzten Anmeldung erfassen, um inaktive Konten zu erkennen

6.7. Zeitpunkt der letzten Anmeldung erfassen, um inaktive Konten zu erkennen#

Inaktive Benutzerkonten stellen ein Sicherheitsrisiko dar, da Angreifer sie kompromittieren können, ohne dass es jemandem auffällt. Durch die Aufzeichnung des letzten Anmeldezeitpunkts jedes Kontos können Sie Konten identifizieren, die sich seit längerem nicht mehr angemeldet haben, und geeignete Maßnahmen ergreifen.

Lesen Sie diese Seite, um zu erfahren, wie Sie:

  • das OpenLDAP lastbind Overlay-Modul aktivieren.

  • Anmeldezeitstempel von allen LDAP-Servern der Domäne erfassen.

  • automatische Aktualisierungen planen, um die Zeitstempel aktuell zu halten.

Vorsicht

Lesen Sie vor der Verwendung dieser Funktion den KB 14404 - Knowledge-Base-Artikel zur Aktivierung des OpenLDAP-lastbind-Overlay-Moduls.

6.7.1. Overlay-Modul aktivieren#

Das lastbind-Overlay-Modul für OpenLDAP zeichnet auf, wann sich ein Benutzer zuletzt angemeldet hat, und speichert das Ergebnis im Attribut authTimestamp. Verwenden Sie diese Zeitstempel, um Konten zu identifizieren, die sich seit längerer Zeit nicht angemeldet haben.

Wenn Sie die UCR-Variable ldap/overlay/lastbind auf yes setzen und den OpenLDAP-Server neu starten, wird das lastbind-Overlay-Modul aktiviert. Um den OpenLDAP-Server neu zu starten, führen Sie den Befehl in Listing 6.15 aus. Das Modul schreibt bei jedem LDAP-Bind des Kontos einen Zeitstempel in das Attribut authTimestamp des Kontos. ldap/overlay/lastbind/precision legt die minimale Zeit in Sekunden zwischen Aktualisierungen des Attributs authTimestamp fest. Dies verhindert übermäßige Schreiboperationen, die die Leistung beeinträchtigen.

Listing 6.15 OpenLDAP-Server neu starten#
$ systemctl restart slapd

6.7.2. Zeitstempel erfassen und speichern#

Das lastbind Overlay-Modul schreibt authTimestamp nur auf den lokalen LDAP-Server. Andere LDAP-Server replizieren dieses Attribut nicht. Führen Sie daher das Skript /usr/share/univention-ldap/univention_lastbind.py aus. Das Skript erfasst den neuesten authTimestamp-Wert von allen erreichbaren LDAP-Servern in der Nubus für UCS Domäne und speichert ihn im erweiterten Attribut lastbind.

Das erweiterte Attribut lastbind speichert seinen Wert im LDAP-Attribut univentionAuthTimestamp, das Sie direkt im Verzeichnis abfragen können.

6.7.3. Automatische Aktualisierungen planen#

Um das erweiterte Attribut lastbind aktuell zu halten, erstellen Sie einen Cron-Job mit UCR, wie in Listing 6.16 gezeigt.

Für weitere Informationen zum Einrichten von Cron-Jobs über UCR-Variablen siehe Definition eigener Cron-Jobs in Univention Configuration Registry in UCS Handbuch [3].

Listing 6.16 Cron-Job erstellen, um das erweiterte Attribut lastbind regelmäßig zu aktualisieren#
$ ucr set cron/update_lastbind_attribute/command='\
/usr/share/univention-ldap/univention_lastbind.py --allusers'\
  cron/update_lastbind_attribute/time='00 06 * * *'
# daily at 06:00
Auf dieser Seite