Für die Installation von Agenten sind bestimmte Voraussetzungen im Zusammenhang mit dem Benutzerkonto erforderlich.

Anforderungen für Windows-Endpunkt-VM-Benutzerkonten

  • Zum Installieren von Agenten
    • muss der Benutzer entweder ein Administrator sein oder
    • Nicht-Administrator, der zur Administratorgruppe gehört.

Anforderungen für Linux-Endpunkt-VM-Benutzerkonten

Für Linux-Endpunkt-VMs gibt es zwei Benutzerkonten für den Telegraf-Agenten, nämlich den Installationsbenutzer und den Laufzeitbenutzer. Benutzeranmeldedaten, die während der Installation des Agenten bereitgestellt werden, gelten für den Installationsbenutzer. Der arcuser ist ein Laufzeitbenutzer und benötigt einen Satz von Rechten, die für die Ausführung der Komponenten des Agenten erforderlich sind.
  • Der Mount-Punkt /tmp muss mit der Option "exec" gemountet werden.
  • Im Folgenden sind die mindestens erforderlichen Berechtigungen des Benutzers zum Installieren von Agenten aufgeführt. Und diese sollten in der Datei sudoers angegeben werden:
    Beispiel: Für einen Benutzer mit dem Namen telegrafinstall finden Sie die Datei sudoers im Verzeichnis /etc/sudoers oder im Ordner /etc/sudoers.d/:
    Defaults:telegrafinstall !requiretty
    
    Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh 
    
    telegrafinstall ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS

Voraussetzungen für Laufzeitbenutzer

Es gibt zwei Möglichkeiten, wie ein Laufzeitbenutzer in Linux-Endpunkt-VMs erstellt wird: automatisch und manuell. Ein Laufzeitbenutzer verfügt über einen Standardnamen und eine Standardgruppe, nämlich arcuser bzw. arcgroup. Wenn das Kontrollkästchen Erstellen Sie einen Laufzeit-Benutzer auf virtuellen Linux-Maschinen mit den erforderlichen Berechtigungen im Rahmen der Agenteninstallation aktiviert ist, werden arcuser und arcgroup automatisch erstellt. Das Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie arcuser und arcgroup manuell erstellen möchten, finden Sie nachstehend die Schritte, die Sie dafür ausführen müssen:

Erstellen Sie die arcgroup und den arcuser, und ordnen Sie die arcgroup dem arcuser als primäre Gruppe hinzu.
  1. Die arcgroup muss die primäre Gruppe von arcuser sein.

    Die folgenden Befehle können verwendet werden, um die arcgroup und den arcuser zu erstellen:

    groupadd arcgroup

    useradd arcuser -g arcgroup -M -s /bin/false

  2. Der arcuser muss ohne Basisverzeichnis und ohne Zugriff auf die Anmelde-Shell erstellt werden.

    Der /etc/passwd-Eintrag für arcuser lautet z. B. nach dem Hinzufügen von arcuser und arcgroup:

    arcuser:x:1001:1001::/home/arcuser:/bin/false

  3. Der arcuser muss wie unten erwähnt über einen bestimmten kennwortlosen Satz von Rechten verfügen, die in die Datei /etc/sudoers oder in den Ordner /etc/sudoers.d/ geschrieben werden müssen:
    Defaults:arcuser !requiretty
    Cmnd_Alias VAPCOMMANDS=/usr/bin/systemctl * ucp-telegraf.service, !/usr/bin/systemctl * * ucp-telegraf.service, /bin/systemctl * ucp-telegraf.service, !/bin/systemctl * * ucp-telegraf.service, /usr/bin/systemctl * ucp-minion.service, !/usr/bin/systemctl * * ucp-minion.service, /bin/systemctl * ucp-minion.service, !/bin/systemctl * * ucp-minion.service, /usr/bin/systemctl * salt-minion.service, !/usr/bin/systemctl * * salt-minion.service, /bin/systemctl * salt-minion.service, !/bin/systemctl * * salt-minion.service, /usr/bin/systemctl * ucp-salt-minion.service, !/usr/bin/systemctl * * ucp-salt-minion.service, /bin/systemctl * ucp-salt-minion.service, !/bin/systemctl * * ucp-salt-minion.service, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/content/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh, /usr/bin/systemd-run, /bin/systemd-run
    arcuser ALL=(ALL) NOPASSWD: VAPCOMMANDS