Für die Installation von Agenten sind bestimmte Voraussetzungen im Zusammenhang mit dem Benutzerkonto erforderlich.

Voraussetzungen für Windows-Endpunkte

  • Zum Installieren von Agenten
    • muss der Benutzer entweder ein Administrator sein oder
    • Nicht-Administrator, der zur Administratorgruppe gehört.

Voraussetzungen für Linux-Endpunkte

  • Der Mount-Punkt /tmp muss mit der Option "exec" gemountet werden.
  • Stellen Sie sicher, dass die folgenden Zeilen in /etc/sudoers vorhanden sind.
    1.root ALL=(ALL:ALL) ALL
2.Defaults:root !requiretty
3.Defaults:arcuser !requiretty
    (1) kann ausgelassen werden, wenn der kennwortlose SUDO-Zugriff bereits für den Root-Benutzer aktiviert ist. (2) und (3) können ausgelassen werden, wenn Ihre Endpunkt-VMs bereits zum Ausschalten von requiretty konfiguriert sind.

Für Linux-Endpunkte gibt es zwei Benutzerkonten, nämlich den Installationsbenutzer und den Laufzeitbenutzer.

Voraussetzungen für Installationsbenutzer

Sie können einen der folgenden Installationsbenutzer für Linux-Endpunkte verwenden.

  • Root-Benutzer – alle Rechte
  • Ein Nicht-Root-Benutzer mit allen Rechten –

    Der kennwortlose SUDO-Zugriff mit erhöhten Privilegien für einen Nicht-Root-Benutzer oder eine Gruppe von Nicht Root-Benutzern.

    Um den kennwortlosen SUDO-Zugriff mit erhöhten Privilegien für einen Benutzer namens bob zu aktivieren, fügen Sie bob ALL=(ALL:ALL) NOPASSWD: ALL zu /etc/sudoers hinzu.

    Um den kennwortlosen SUDO-Zugriff mit erhöhten Privilegien für eine Benutzergruppe namens bobg zu aktivieren, fügen Sie %bobg ALL=(ALL:ALL) NOPASSWD: ALL zu /etc/sudoers hinzu.

  • Ein Nicht-Root-Benutzer mit einem bestimmten Satz von Rechten –

    Der kennwortlose SUDO-Zugriff mit erhöhten Privilegien für einen Nicht-Root-Benutzer mit Zugriff auf bestimmte Befehle. Fügen Sie die folgenden entsprechenden Einträge zur Datei sudoers hinzu, um den kennwortlosen SUDO-Zugriff mit erhöhten Privilegien für den ARC_INSTALL_USER zu aktivieren: 
    Defaults:ARC_INSTALL_USER !requiretty
Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh
ARC_INSTALL_USER ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS 
				
For example,for a user bob, add the following lines to /etc/sudoers:
Defaults:bob !requiretty
Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh 
bob ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS

Voraussetzungen für Laufzeitbenutzer

Es gibt zwei Möglichkeiten, wie ein Laufzeitbenutzer in Linux-Endpunkten erstellt wird: automatisch und manuell. Ein Laufzeitbenutzer verfügt über einen Standardnamen und eine Standardgruppe, nämlich arcuser bzw. arcgroup. Standardmäßig werden arcuser und arcgroup automatisch erstellt. Wenn Sie arcuser und arcgroup manuell erstellen möchten, gelten folgende Voraussetzungen:

  • Manuell erstellten arcuser und manuell erstellte arcgroup.

    Erstellen Sie die arcgroup und den arcuser, und ordnen Sie die arcgroup dem arcuser als primäre Gruppe hinzu. Die Anforderungen sind wie folgt:

    1. Die arcgroup muss die primäre Gruppe von arcuser sein.

      Beispielsweise können die folgenden Befehle verwendet werden, um die arcgroup und den arcuser zu erstellen:

      groupadd arcgroup

      useradd arcuser -g arcgroup -M -s /bin/false

    2. Der arcuser muss ohne Basisverzeichnis und ohne Zugriff auf die Anmelde-Shell erstellt werden.

      Der etc/passwd-Eintrag für arcuser lautet z. B. nach dem Hinzufügen von arcuser und arcgroup:

      arcuser:x:1001:1001::/home/arcuser:/bin/false

    3. Der arcuser muss entweder über alle kennwortlosen Rechte oder über einen bestimmten Satz von kennwortlosen Rechten verfügen, wie unten erwähnt:

      Um den kennwortlosen SUDO-Zugriff mit erhöhten Privilegien für den Laufzeitbenutzer arcuser zu aktivieren, fügen Sie die folgenden entsprechenden Einträge zur Datei sudoers hinzu.

      Alle Rechte:

      arcuser ALL=(ALL:ALL) NOPASSWD: ALL

      Bestimmter Satz von Rechten: 
      Cmnd_Alias ARC_RUN_COMMANDS=/usr/bin/systemctl * ucp-telegraf*,/bin/systemctl * ucp-telegraf*, /usr/bin/systemctl * ucp-minion*, /bin/systemctl * ucp-minion*, /usr/bin/systemctl * salt-minion*, /bin/sytemctl * salt-minion*, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/uaf/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh
arcuser ALL=(ALL) NOPASSWD: ARC_RUN_COMMANDS