30.4. グループまたはユーザーのリストを除外するために tlog RHEL システムロールをデプロイする
tlog
システムロールを使用すると、SSSD セッションの録画設定オプション exclude_users
および exclude_groups
をサポートできます。次の手順に従って、Ansible Playbook を準備して適用し、ユーザーまたはグループのセッションが systemd ジャーナルに記録およびログされないように RHEL システムを設定します。
この Playbook は、指定されたシステムに tlog
RHEL システムロールをインストールします。このロールには、ユーザーのログインシェルとして機能するターミナルセッション I/O ロギングプログラムである tlog-rec-session
が含まれます。また、除外対象外のユーザーおよびグループが使用できる /etc/sssd/conf.d/sssd-session-recording.conf
SSSD 設定ドロップファイルを作成します。SSSD は、これらのユーザーとグループを解析して読み取り、ユーザーシェルを tlog-rec-session
に置き換えます。さらに、cockpit
パッケージがシステムにインストールされている場合、Playbook は cockpit-session-recording
パッケージもインストールします。これは Cockpit
モジュールの 1 つであり、Web コンソールインターフェイスでの記録の表示と再生を可能にするものです。
前提条件
- コントロールノードと管理対象ノードを準備している。
- 管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
-
管理対象ノードへの接続に使用するアカウントに、そのノードに対する
sudo
権限がある。
手順
次の内容を含む Playbook ファイル (例:
~/playbook.yml
) を作成します。--- - name: Deploy session recording excluding users and groups hosts: managed-node-01.example.com roles: - rhel-system-roles.tlog vars: tlog_scope_sssd: all tlog_exclude_users_sssd: - jeff - james tlog_exclude_groups_sssd: - admins
tlog_scope_sssd
-
値
all
は、すべてのユーザーとグループを記録することを指定します。 tlog_exclude_users_sssd
- セッションの記録から除外するユーザーのユーザー名を指定します。
tlog_exclude_groups_sssd
- セッション記録から除外するグループを指定します。
Playbook の構文を検証します。
$ ansible-playbook --syntax-check ~/playbook.yml
このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。
Playbook を実行します。
$ ansible-playbook ~/playbook.yml
検証
SSSD 設定ドロップファイルが作成されるフォルダーに移動します。
# cd /etc/sssd/conf.d/
ファイルの内容を確認します。
# cat sssd-session-recording.conf
Playbook に設定したパラメーターがファイルに含まれていることが確認できます。
- セッションを記録するユーザーとしてログインします。
- 記録されたセッションを再生します。
関連情報
-
/usr/share/ansible/roles/rhel-system-roles.tlog/README.md
ファイル -
/usr/share/doc/rhel-system-roles/tlog/
ディレクトリー