23.4. Déploiement du rôle de système tlog RHEL pour l'exclusion de listes de groupes ou d'utilisateurs
Vous pouvez utiliser le rôle système tlog
pour prendre en charge les options de configuration d'enregistrement de session SSSD exclude_users
et exclude_groups
. Suivez ces étapes pour préparer et appliquer un playbook Ansible afin de configurer un système RHEL de manière à exclure les utilisateurs ou les groupes dont les sessions sont enregistrées et consignées dans le journal systemd.
Conditions préalables
-
Vous avez défini des clés SSH pour l'accès du nœud de contrôle au système cible sur lequel vous souhaitez configurer le rôle de système
tlog
. -
Vous avez au moins un système sur lequel vous voulez configurer le rôle de système
tlog
. - Le paquetage Ansible Core est installé sur la machine de contrôle.
-
Le paquet
rhel-system-roles
est installé sur la machine de contrôle.
Procédure
Créez un nouveau fichier
playbook.yml
avec le contenu suivant :--- - name: Deploy session recording excluding users and groups hosts: all vars: tlog_scope_sssd: all tlog_exclude_users_sssd: - jeff - james tlog_exclude_groups_sssd: - admins roles: - rhel-system-roles.tlog
Où ?
tlog_scope_sssd
:-
all
: spécifie que vous voulez enregistrer tous les utilisateurs et tous les groupes.
-
tlog_exclude_users_sssd
:- noms d'utilisateur : spécifie les noms d'utilisateur des utilisateurs que vous souhaitez exclure de l'enregistrement de la session.
tlog_exclude_groups_sssd
:-
admins
spécifie le groupe que vous souhaitez exclure de l'enregistrement de la session.
-
Optionnellement, vérifier la syntaxe du playbook ;
# ansible-playbook --syntax-check playbook.yml
Exécutez le playbook sur votre fichier d'inventaire :
# ansible-playbook -i IP_Address /path/to/file/playbook.yml -v
Par conséquent, le playbook installe le rôle système tlog
RHEL sur le système que vous avez spécifié. Le rôle inclut tlog-rec-session
, un programme de journalisation des entrées/sorties de session de terminal, qui agit comme shell de connexion pour un utilisateur. Il crée également un fichier de dépôt de configuration SSSD /etc/sssd/conf.d/sssd-session-recording.conf
qui peut être utilisé par les utilisateurs et les groupes, à l'exception de ceux que vous avez définis comme exclus. SSSD analyse et lit ces utilisateurs et groupes, et remplace leur shell utilisateur par tlog-rec-session
. En outre, si le paquet cockpit
est installé sur le système, le playbook installe également le paquet cockpit-session-recording
, qui est un module Cockpit
qui vous permet de visualiser et de lire des enregistrements dans l'interface de la console Web.
Verification steps
Pour vérifier que le fichier de dépôt de configuration SSSD est créé dans le système, procédez comme suit :
Naviguez jusqu'au dossier dans lequel le fichier de dépôt de la configuration SSSD a été créé :
# cd /etc/sssd/conf.d
Vérifier le contenu du fichier :
# cat sssd-session-recording.conf
Vous pouvez voir que le fichier contient les paramètres que vous avez définis dans le playbook.
Ressources supplémentaires
-
Voir les répertoires
/usr/share/doc/rhel-system-roles/tlog/
et/usr/share/ansible/roles/rhel-system-roles.tlog/
. - L'enregistrement d'une session à l'aide du rôle de système d'enregistrement de session terminal déployé dans le CLI.