21.4. グループまたはユーザーの一覧を除外するための tlog RHEL システムロールのデプロイ

tlog システムロールを使用すると、SSSD セッションの録画設定オプション exclude_users および exclude_groups をサポートできます。以下の手順に従って、Ansible Playbook を準備および適用し、ユーザーまたはグループがセッションを録画して systemd ジャーナルにロギングしないように RHEL システムを設定します。

前提条件

  • コントロールノードから tlog システムロールを設定するターゲットシステムへアクセスするための SSH キーを設定している。
  • tlog システムロールを設定するシステムが 1 つ以上ある。
  • Ansible Core パッケージがコントロールマシンにインストールされている。
  • rhel-system-roles パッケージがコントロールマシンにインストールされている。

手順

  1. 以下の内容を含む新しい playbook.yml ファイルを作成します。 

    ---
- name: Deploy session recording excluding users and groups
  hosts: all
  vars:
    tlog_scope_sssd: all
    tlog_exclude_users_sssd:
      - jeff
      - james
    tlog_exclude_groups_sssd:
      - admins

  roles:
    - rhel-system-roles.tlog

    詳細は以下のようになります。

    • tlog_scope_sssd:

      • all: ユーザーおよびグループをすべて録画するように指定します。

    • tlog_exclude_users_sssd:

      • User name: セッションの録画から除外するユーザーのユーザー名を指定します。

    • tlog_exclude_groups_sssd:

      • admins は、セッションの録画から除外するグループを指定します。

  2. オプションで Playbook の構文を確認します。 

    # ansible-playbook --syntax-check playbook.yml

  3. インベントリーファイルで Playbook を実行します。 

    # ansible-playbook -i IP_Address /path/to/file/playbook.yml -v

その結果、Playbook は指定したシステムに tlog RHEL システムロールをインストールします。このロールには、ユーザーのログインシェルとして機能するターミナルセッション I/O ロギングプログラムである tlog-rec-session が含まれます。また、除外対象外のユーザーおよびグループが使用できる /etc/sssd/conf.d/sssd-session-recording.conf SSSD 設定ドロップファイルを作成します。SSSD は、これらのユーザーとグループを解析して読み取り、ユーザーシェルを tlog-rec-session に置き換えます。さらに、cockpit パッケージがシステムにインストールされている場合、Playbook は cockpit-session-recording パッケージもインストールします。これは、Web コンソールインターフェイスで録画を表示および再生できるようにする Cockpit モジュールです。

検証手順

システムで SSSD 設定ドロップファイルが作成されることを確認するには、以下の手順を実行します。

  1. SSSD 設定ドロップファイルが作成されるフォルダーに移動します。 

    # cd /etc/sssd/conf.d

  2. ファイルの内容を確認します。 

    # cat sssd-session-recording.conf

Playbook に設定したパラメーターがファイルに含まれていることが確認できます。

関連情報