Last Login

UCS - Univention Corporate Server
#1

Um der Lizenz, gerade der neuen Strenge der 2.1er Version, nachzukommen, müssen alte, nicht mehr benutzte Accounts gelöscht werden, um neue aufnehmen zu können.

Gibt es eine Möglichkeit, sich z.B. “schnell mal eben” anzeigen zu lassen, welche Accounts (ob nun Rechner oder Person, in unserem Fall wären die Rechner wichtiger, da diese in UCS nicht gepflegt wurden) im UCS-System eingetragen sind, aber seit einer bestimmten Zeit nicht mehr benutzt werden? Konkret: Wird irgendwo eine Art “Last Login” für Windows-PC-Accounts vermerkt?

#2

Hallo,

[quote=“heide”]Um der Lizenz, gerade der neuen Strenge der 2.1er Version, nachzukommen, müssen alte, nicht mehr benutzte Accounts gelöscht werden, um neue aufnehmen zu können.

Gibt es eine Möglichkeit, sich z.B. “schnell mal eben” anzeigen zu lassen, welche Accounts (ob nun Rechner oder Person, in unserem Fall wären die Rechner wichtiger, da diese in UCS nicht gepflegt wurden) im UCS-System eingetragen sind, aber seit einer bestimmten Zeit nicht mehr benutzt werden? Konkret: Wird irgendwo eine Art “Last Login” für Windows-PC-Accounts vermerkt?[/quote]

Direkt werden dazu keine Informationen im LDAP-Verzeichnis gespeichert. Allerdings gibt es einige Möglichkeiten diesbezüglich Informationen zu ermitteln. Im Samba-Log kann bei einer Erhöhung des Log-Levels ermittelt werden, von welchen Rechnern Anmeldungen durchgeführt werden. Details zur Erhöhung des Log-Level für einzelne Komponenten von Samba können Sie in der man-Page zu smb.conf nachlesen. Durch Abgleich dieser Liste mit der Liste aller Windows-Rechner im LDAP-Verzeichnis sollte man die nicht genutzten Rechner ermitteln können.

Alternativ können Sie auch den Änderungszeitpunkt der LDAP-Objekte der Windows-Rechner betrachten. In der Regel ändern Windows-Rechner im Abstand von einigen Wochen ihr Passwort (es sei denn dies wurde explizit auf dem Client deaktiviert). Wird das Passwort des Rechnerkontos im LDAP-Verzeichnis geändert, wird dies in dem Attribut modifyTimestamp des LDAP-Objektes festgehalten. Eine Liste aller Windows.Rechner-Objekte sowie der zugehörigen Veränderungszeitpunkt können Sie wie folgt ermitteln:

ldapsearch -x objectClass=univentionWindows + dn | ldapsearch-wrapper | egrep '^(dn|modifyTimestamp):'

Sollte ein Rechner für mehrere Monate nicht eingeschaltet worden sein, kann dies an dem Attribut modifyTimestamp abgelesen werden. Zu beachten ist hier, dass dies nur zuverlässig für Rechner funktioniert, die längere Zeit (mehrere Monate) nicht genutzt worden sind und nur dann wenn die automatische Passwortänderung nicht deaktiviert wurde.

Mit freundlichen Grüßen
Andreas Büsching

#3

Vielen Dank. So wie es aussieht, reichen mir die Daten. (EDIT: 2x Flüchtigkeitsfehler korrigiert)

Mit Hilfe einer RegExp und Sort konnte ich sie in ein für mich brauchbares Format umwandeln und da der Großteil der Daten aus diesem und dem letzten Monat stammen, gehe ich mal davon aus, dass in unserem Haus diese Windows-Funktion aktiviert ist.

#4

Hallo,

rein interessehalber: Hat sich da noch was getan? Einige ldap-Server am Markt können automatisch last-user-login-Daten sammeln, andere nicht. Active Directory(MS), NDS (Novell) und OpenDS (Sun) z.B. beherrschen das wohl. Bei 389 DS (Red Hat) und OpenLDAP steht es leider höchstens auf der Wunschliste.

Klar, in großen Installationen mit vielen replizierten read-only-Servern pro Master Server würde das das Konzept zu sehr durcheinander bringen (also deutlich verlangsamen). Schade nur, dass es deswegen wohl erst gar nicht implementiert wird. (Könnte man dort ja auch einfach nur abschalten.)

Auf Dauer werde ich wohl jetzt doch mal einen Hack auf Basis eines Login-Skriptes entwickeln, da ich jetzt zum x-ten mal aus verschiedenen Gründen darüber stolpere, dass diese Daten ganz praktisch wären. Leider fehlen mir die Kenntnisse, eine vernünftige Lösung, z.B. direkt in OpenLDAP, zu schreiben. Falls jemand eine tolle Idee in die Richtung hat, kann mir aber jeder gerne Tipps geben :-).

Gruß
M.Heide

#5

Hallo,

von unserer Seite wurden diesbezüglich bisher keine neuen Funktionen implementiert.

Mit freundlichen Grüßen
Janis Meybohm

Mastodon