48.2. SSSD を使用したセッション記録を CLI から有効にして設定する

特定のユーザーまたはグループの端末アクティビティーをキャプチャーするには、Identity Management (IdM) の SSSD を介してセッション記録を有効にします。セッション記録はセキュリティー監査を向上させ、ユーザーアクティビティーの調査に役立ちます。

セッション記録を設定するときは、SSSD を使用して、scope オプションを次のいずれかの値に設定し、記録するユーザーまたはグループを定義します。

前提条件

sudo または root ユーザーアクセス権によって提供される管理者特権。これは先頭にコマンドプロンプト # が付いているコマンドに必要です。sudo アクセス権を設定する方法については、非特権ユーザーが特定のコマンドを実行できるようにするを参照してください。
認証に SSSD を使用している。

手順

tlog パッケージをインストールします。
```
# dnf install tlog
```
sssd-session-recording.conf 設定ファイルを開きます。
```
# vi /etc/sssd/conf.d/sssd-session-recording.conf
```
セッション記録のスコープと記録するユーザーおよびグループを指定します。以下に例を示します。
```
[session_recording]
scope = some
users = <user_name_1>, <user_name_2>
groups = <group_name>
exclude_users = <user_name_to_exclude>
exclude_groups = <group_name_to_exclude>
```
詳細は、システム上の sssd-session-recording(5) man ページを参照してください。
SSSD プロファイルを有効にするために、次のコマンドを実行します。
```
# authselect select sssd with-tlog
```
SSSD を再起動して、設定の変更を読み込みます。
```
# systemctl restart sssd
```