Für die Installation von Agenten sind bestimmte Voraussetzungen im Zusammenhang mit dem Benutzerkonto erforderlich.
Anforderungen für Windows-Endpunkt-VM-Benutzerkonten
- Zum Installieren von Agenten
- muss der Benutzer entweder ein Administrator sein oder
- Nicht-Administrator, der zur Administratorgruppe gehört.
Anforderungen für Linux-Endpunkt-VM-Benutzerkonten
- Der Mount-Punkt /tmp muss mit der Option "exec" gemountet werden.
- Im Folgenden sind die mindestens erforderlichen Berechtigungen des Benutzers zum Installieren von Agenten aufgeführt. Und diese sollten in der Datei sudoers angegeben werden:
Beispiel: Für einen Benutzer mit dem Namen telegrafinstall finden Sie die Datei sudoers im Verzeichnis /etc/sudoers oder im Ordner /etc/sudoers.d/:
Defaults:telegrafinstall !requiretty Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh telegrafinstall ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS
Voraussetzungen für Laufzeitbenutzer
Es gibt zwei Möglichkeiten, wie ein Laufzeitbenutzer in Linux-Endpunkt-VMs erstellt wird: automatisch und manuell. Ein Laufzeitbenutzer verfügt über einen Standardnamen und eine Standardgruppe, nämlich arcuser bzw. arcgroup. Wenn das Kontrollkästchen Erstellen Sie einen Laufzeit-Benutzer auf virtuellen Linux-Maschinen mit den erforderlichen Berechtigungen im Rahmen der Agenteninstallation aktiviert ist, werden arcuser und arcgroup automatisch erstellt. Das Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie arcuser und arcgroup manuell erstellen möchten, finden Sie nachstehend die Schritte, die Sie dafür ausführen müssen:
- Die arcgroup muss die primäre Gruppe von arcuser sein.
Die folgenden Befehle können verwendet werden, um die arcgroup und den arcuser zu erstellen:
groupadd arcgroup
useradd arcuser -g arcgroup -M -s /bin/false
- Der arcuser muss ohne Basisverzeichnis und ohne Zugriff auf die Anmelde-Shell erstellt werden.
Der /etc/passwd-Eintrag für arcuser lautet z. B. nach dem Hinzufügen von arcuser und arcgroup:
arcuser:x:1001:1001::/home/arcuser:/bin/false
- Der arcuser muss wie unten erwähnt über einen bestimmten kennwortlosen Satz von Rechten verfügen, die in die Datei /etc/sudoers oder in den Ordner /etc/sudoers.d/ geschrieben werden müssen:
Defaults:arcuser !requiretty Cmnd_Alias VAPCOMMANDS=/usr/bin/systemctl * ucp-telegraf.service, !/usr/bin/systemctl * * ucp-telegraf.service, /bin/systemctl * ucp-telegraf.service, !/bin/systemctl * * ucp-telegraf.service, /usr/bin/systemctl * ucp-minion.service, !/usr/bin/systemctl * * ucp-minion.service, /bin/systemctl * ucp-minion.service, !/bin/systemctl * * ucp-minion.service, /usr/bin/systemctl * salt-minion.service, !/usr/bin/systemctl * * salt-minion.service, /bin/systemctl * salt-minion.service, !/bin/systemctl * * salt-minion.service, /usr/bin/systemctl * ucp-salt-minion.service, !/usr/bin/systemctl * * ucp-salt-minion.service, /bin/systemctl * ucp-salt-minion.service, !/bin/systemctl * * ucp-salt-minion.service, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/content/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh, /usr/bin/systemd-run, /bin/systemd-run arcuser ALL=(ALL) NOPASSWD: VAPCOMMANDS