Как мне регистрировать попытки аутентификации с помощью samba?

Если вы измените log level линия в /etc/samba/smb.conf читать:

log level = 1 winbind:5

Вы получаете информацию, которую я ищу (по умолчанию зарегистрирован /var/log/samba/log.DOMAIN), но это очень шумно, и сообщения журнала разбиты на две строки. Не совсем то, что я ищу, но это, возможно, придется сделать.

В файлах журнала samba информация об аутентификации помечается check_ntlm_password модуль (при условии, что это то, что вы используете). Если вы хотите указать дату и время, вам нужно записать строку перед той, которая содержит актуальную информацию.

Вот несколько примеров. Имя пользователя было заменено на xxx.yyy во всех случаях. Обратите внимание, как капитализация для authentication отличается для случаев успеха и неудачи.

[2011/11/08 10:22:40.604819,  2] auth/auth.c:304(check_ntlm_password)
  check_ntlm_password:  authentication for user [xxx.yyy] -> [xxx.yyy] -> [xxx.yyy] succeeded

[2012/01/11 09:09:00.430424,  2] auth/auth.c:314(check_ntlm_password)
  check_ntlm_password:  Authentication for user [xxx.yyy] -> [xxx.yyy] FAILED with error NT_STATUS_WRONG_PASSWORD

Есть и другие сообщения помимо этих двух. Эти строки были произведены Samba из репозитория backports lenny. Версия samba - 3.5.6, фактическая версия пакета - 2:3.5.6~dfsg-3~bpo50+1. Точная конфигурация для входа в систему smb.conf было:

syslog = 0
debug level = 2
log file = /var/log/samba/%m.log
max log size = 1024
panic action = /usr/share/samba/panic-action %d

Если вы нажимаете AD, то вы должны увидеть попытки входа в систему в "журнале безопасности". Он должен содержать не только имя пользователя, но и IP-адрес источника (который должен быть вашим хостом squid).

Вот хорошая статья по настройке: http://www.windowsecurity.com/articles/windows-active-directory-auditing.html

Я бы предостерег от успеха аудита, поскольку он быстро заполняет журналы.