21.4. グループまたはユーザーの一覧を除外するための tlog RHEL システムロールのデプロイ
tlog
システムロールを使用すると、SSSD セッションの録画設定オプション exclude_users
および exclude_groups
をサポートできます。以下の手順に従って、Ansible Playbook を準備および適用し、ユーザーまたはグループがセッションを録画して systemd ジャーナルにロギングしないように RHEL システムを設定します。
前提条件
-
コントロールノードから
tlog
システムロールを設定するターゲットシステムへアクセスするための SSH キーを設定している。 -
tlog
システムロールを設定するシステムが 1 つ以上ある。 - Ansible Core パッケージがコントロールマシンにインストールされている。
-
rhel-system-roles
パッケージがコントロールマシンにインストールされている。
手順
以下の内容を含む新しい
playbook.yml
ファイルを作成します。--- - name: Deploy session recording excluding users and groups hosts: all vars: tlog_scope_sssd: all tlog_exclude_users_sssd: - jeff - james tlog_exclude_groups_sssd: - admins roles: - rhel-system-roles.tlog
詳細は以下のようになります。
tlog_scope_sssd
:-
all
: ユーザーおよびグループをすべて録画するように指定します。
-
tlog_exclude_users_sssd
:- User name: セッションの録画から除外するユーザーのユーザー名を指定します。
tlog_exclude_groups_sssd
:-
admins
は、セッションの録画から除外するグループを指定します。
-
オプションで Playbook の構文を確認します。
# ansible-playbook --syntax-check playbook.yml
インベントリーファイルで Playbook を実行します。
# ansible-playbook -i IP_Address /path/to/file/playbook.yml -v
その結果、Playbook は指定したシステムに tlog
RHEL システムロールをインストールします。このロールには、ユーザーのログインシェルとして機能するターミナルセッション I/O ロギングプログラムである tlog-rec-session
が含まれます。また、除外対象外のユーザーおよびグループが使用できる /etc/sssd/conf.d/sssd-session-recording.conf
SSSD 設定ドロップファイルを作成します。SSSD は、これらのユーザーとグループを解析して読み取り、ユーザーシェルを tlog-rec-session
に置き換えます。さらに、cockpit
パッケージがシステムにインストールされている場合、Playbook は cockpit-session-recording
パッケージもインストールします。これは、Web コンソールインターフェイスで録画を表示および再生できるようにする Cockpit
モジュールです。
検証手順
システムで SSSD 設定ドロップファイルが作成されることを確認するには、以下の手順を実行します。
SSSD 設定ドロップファイルが作成されるフォルダーに移動します。
# cd /etc/sssd/conf.d
ファイルの内容を確認します。
# cat sssd-session-recording.conf
Playbook に設定したパラメーターがファイルに含まれていることが確認できます。
関連情報
-
/usr/share/doc/rhel-system-roles/tlog/
ディレクトリーおよび/usr/share/ansible/roles/rhel-system-roles.tlog/
ディレクトリーを参照してください。 - Recording a session using the deployed Terminal Session Recording System Role in the CLI。