Für die Installation von Agenten sind bestimmte Voraussetzungen im Zusammenhang mit dem Benutzerkonto erforderlich.

Anforderungen an das Benutzerkonto der Windows-Zielmaschine

  • Zum Installieren von Agenten
    • muss der Benutzer entweder ein Administrator sein oder
    • Nicht-Administrator, der zur Administratorgruppe gehört.

Anforderungen an das Benutzerkonto der Linux-Zielmaschine

Für Linux-Zielmaschinen gibt es zwei Benutzerkonten für den Telegraf-Agenten, z. B. den Installationsbenutzer und den Laufzeitbenutzer. Benutzeranmeldedaten, die während der Installation des Agenten bereitgestellt werden, gelten für den Installationsbenutzer. Der arcuser ist ein Laufzeitbenutzer und benötigt einen Satz von Rechten, die für die Ausführung der Komponenten des Agenten erforderlich sind.
  • Der Mount-Punkt /tmp muss mit der Option "exec" gemountet werden.
  • Im Folgenden sind die mindestens erforderlichen Berechtigungen des Benutzers zum Installieren von Agenten aufgeführt. Und diese sollten in der Datei sudoers angegeben werden:
    Beispiel: Für einen Benutzer mit dem Namen telegrafinstall finden Sie die Datei sudoers im Verzeichnis /etc/sudoers oder im Ordner /etc/sudoers.d/:
    Defaults:telegrafinstall !requiretty
    
    Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh 
    
    telegrafinstall ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS

Voraussetzungen für Laufzeitbenutzer

Laufzeitbenutzer werden auf Linux-Zielmaschinen automatisch oder manuell erstellt. Ein Laufzeitbenutzer verfügt über einen Standardnamen und eine Standardgruppe, nämlich arcuser bzw. arcgroup. Wenn das Kontrollkästchen Erstellen Sie einen Laufzeit-Benutzer auf virtuellen Linux-Maschinen mit den erforderlichen Berechtigungen im Rahmen der Agenteninstallation aktiviert ist, werden arcuser und arcgroup automatisch erstellt. Das Kontrollkästchen ist standardmäßig aktiviert. Ein Laufzeitbenutzer wird auch automatisch während einer skriptbasierten Installation erstellt. Wenn Sie arcuser und arcgroup manuell erstellen möchten, finden Sie nachstehend die Schritte, die Sie dafür ausführen müssen:

Erstellen Sie die arcgroup und den arcuser, und ordnen Sie die arcgroup dem arcuser als primäre Gruppe hinzu.
  1. Die arcgroup muss die primäre Gruppe von arcuser sein.

    Die folgenden Befehle können verwendet werden, um die arcgroup und den arcuser zu erstellen:

    groupadd arcgroup

    useradd arcuser -g arcgroup -M -s /bin/false

  2. Der arcuser muss ohne Basisverzeichnis und ohne Zugriff auf die Anmelde-Shell erstellt werden.

    Der /etc/passwd-Eintrag für arcuser lautet z. B. nach dem Hinzufügen von arcuser und arcgroup:

    arcuser:x:1001:1001::/home/arcuser:/bin/false

  3. Der arcuser muss wie unten erwähnt über einen bestimmten kennwortlosen Satz von Rechten verfügen, die in die Datei /etc/sudoers oder in den Ordner /etc/sudoers.d/ geschrieben werden müssen:
    Defaults:arcuser !requiretty
    Cmnd_Alias VAPCOMMANDS=/usr/bin/systemctl * ucp-telegraf.service, !/usr/bin/systemctl * * ucp-telegraf.service, /bin/systemctl * ucp-telegraf.service, !/bin/systemctl * * ucp-telegraf.service, /usr/bin/systemctl * ucp-minion.service, !/usr/bin/systemctl * * ucp-minion.service, /bin/systemctl * ucp-minion.service, !/bin/systemctl * * ucp-minion.service, /usr/bin/systemctl * salt-minion.service, !/usr/bin/systemctl * * salt-minion.service, /bin/systemctl * salt-minion.service, !/bin/systemctl * * salt-minion.service, /usr/bin/systemctl * ucp-salt-minion.service, !/usr/bin/systemctl * * ucp-salt-minion.service, /bin/systemctl * ucp-salt-minion.service, !/bin/systemctl * * ucp-salt-minion.service, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/content/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh, /usr/bin/systemd-run, /bin/systemd-run
    arcuser ALL=(ALL) NOPASSWD: VAPCOMMANDS