kerberos 失敗ログインカウントの設定

FreeIPAのkerberosサーバーでは、いくつかのパスワードルールが使えるのだが、その中に含まれていないものとして、失敗ログインカウントがある。


一応、kinitが失敗した際のログを確かめて見たところ、次のように失敗したユーザー名と失敗したことを示すログが生じていた。

Jun 03 21:21:44 fedora-virt1.jp.example.org krb5kdc[2030](info):
 AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.15: NEEDED_PREAUTH: 
ipauser1@JP.EXAMPLE.ORG for krbtgt/JP.EXAMPLE.ORG@JP.EXAMPLE.ORG,
 Additional pre-authentication required
Jun 03 21:21:45 fedora-virt1.jp.example.org krb5kdc[2030](info): 
preauth (timestamp) verify failure: Decrypt integrity check failed

定期的にこれらを確認する仕組みを導入することで、一応失敗ログインのカウント(brute force への対応)が可能となりそうだ。