Документация sarg.conf подразумевает, что LDAP можно использовать для поиска имени пользователя по IP-адресу или имени хоста, задав строку «usertab ldap». Но насколько я понимаю, LDAP нельзя использовать для такого поиска. Вместо этого следует анализировать журналы событий безопасности Windows.
Если это так, то для чего предполагается использовать LDAP?
Если вы внимательно прочитаете документацию, вы заметите, что в ней говорится только о имена пользователей в связи с каталогами LDAP. Когда упоминается сопоставление IP-> user, в документе всегда говорится о таблицах, то есть о другом возможном источнике данных для usertab параметр, текстовые таблицы, содержащие информацию о сопоставлении.
Так, sarg похоже, что каталоги LDAP используются только для сопоставления имен пользователей с реальными именами (например, jdoe => Jane Doe), а не для сопоставления IP-адресов. Это довольно стандартный вариант использования LDAP во многих приложениях.
Теоретически можно было бы содержать список с сопоставлениями IP-> пользователей в каталоге LDAP, но я никогда этого не видел.