Intruder lock-out on account

[mplane]

Доброго времени суток.
Если эта тема повторилась прошу прощения и не "пинать" ибо искал, но нужного результату не нашел.

Суть моей проблемы в том, что имеется сервер на котором крутится МАСТЕР реплика. Через это сервис один хороший человек где то в кокой-то приблуде указал свой логин для авторизации в дереве. Естественно, что пароль он сменил после того как он просочился и в логе повалилось следующее. И где это сделал он забыл.

25/07/2011 11:44:02 : DS-20505.7-269
Intruder lock-out on account .vpupkin.People.assa.com

Подскажите каким способом можно "отловить" эту попытку авторизации? В свойствах логина ip нарушителя это ip сервера.
Спасибо.

[Dimerson]

с вероятностью 50% iprint client ?

[mplane]

с вероятностью 50% iprint client ?

Спс. проверю. А как узнать на какой рабочей станции ?

З.Ы. Я не очень силен в Netware

[bgInner]

с вероятностью 50% iprint client ?

Спс. проверю. А как узнать на какой рабочей станции ?

З.Ы. Я не очень силен в Netware

Настроить Novell Audit и отлавливать событие "Intruder lockout" - в логах будет выводиться время, имя пользователя и адрес рабочей станции, с которой пытались подобрать пароль.
Правда, если вы не сильны в Netware, то это займет много времени. Настройка аудита - довольно трудоемкий процесс для новичка (по себе сужу, когда разбирался "с нуля")

[Музалёв Николай]

где то в кокой-то приблуде указал свой логин для авторизации в дереве.

Это может быть и миранда, и аська/ирка... и даже многострадальный винамп, пробующий через сквид "выбраться наружу" за своим обновлением...

[mplane]

с вероятностью 50% iprint client ?

Спс. проверю. А как узнать на какой рабочей станции ?

З.Ы. Я не очень силен в Netware

Настроить Novell Audit и отлавливать событие "Intruder lockout" - в логах будет выводиться время, имя пользователя и адрес рабочей станции, с которой пытались подобрать пароль.
Правда, если вы не сильны в Netware, то это займет много времени. Настройка аудита - довольно трудоемкий процесс для новичка (по себе сужу, когда разбирался "с нуля")

Т.е. я правильно понял, что в аудите будет отображен IP или имя станции,сервера с которого пытались авторизоваться через сервер? Хотя через nwadmin32 я не вижу IP нарушителя кроме IP самого же сервера на котором в консоли выпадают сообщения. Так?
З.Ы. У меня Netware выполняет только функцию файлообмена и ftp и cifs имеется.

[bgInner]

Т.е. я правильно понял, что в аудите будет отображен IP или имя станции,сервера с которого пытались авторизоваться через сервер? Хотя через nwadmin32 я не вижу IP нарушителя кроме IP самого же сервера на котором в консоли выпадают сообщения. Так?

Совершенно верно. В логе будут отображаться:
1. дата, время
2. тип события (Intruder lockout detected...)
3. имя пользователя, который инициировал событие
4. IP - адрес рабочей станции, с которой пользователь инициировал событие
5. имя сервера и дерево.

З.Ы. У меня Netware выполняет только функцию файлообмена и ftp и cifs имеется.

Это в данном случае не имеет никакого значения. Одно другому не мешает. Novell Audit 2.0.2 ставится как отдельный пакет, скачивается с официального сайта Novell

Кстати, прислушайтесь к совету Димерсона. Настроив аудит, вы точно определите рабочую станцию, но не приложение на ней (если это действительно оно, приложение, а не человек), инициировавшее данное событие. Это вполне может быть iPrint client - там тоже можно прописать параметры авторизации, и он будет пытаться программно авторизоваться на сервере

[mplane]

Ок. Понял. Буду читать про аудит. Спасибо.

[mplane]

Всем спасибо. Разобрался. На 2х серверах. Это был APACHE.