kerberos 失敗ログインカウントの設定
FreeIPAのkerberosサーバーでは、いくつかのパスワードルールが使えるのだが、その中に含まれていないものとして、失敗ログインカウントがある。
一応、kinitが失敗した際のログを確かめて見たところ、次のように失敗したユーザー名と失敗したことを示すログが生じていた。
Jun 03 21:21:44 fedora-virt1.jp.example.org krb5kdc[2030](info): AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.15: NEEDED_PREAUTH: ipauser1@JP.EXAMPLE.ORG for krbtgt/JP.EXAMPLE.ORG@JP.EXAMPLE.ORG, Additional pre-authentication required Jun 03 21:21:45 fedora-virt1.jp.example.org krb5kdc[2030](info): preauth (timestamp) verify failure: Decrypt integrity check failed
定期的にこれらを確認する仕組みを導入することで、一応失敗ログインのカウント(brute force への対応)が可能となりそうだ。