Se requieren determinados requisitos previos de la cuenta de usuario para la instalación de los agentes.
Requisitos de la cuenta de usuario de máquina virtual de endpoint Windows
- Para instalar agentes:
- El usuario debe ser administrador
- Un usuario que no es administrador y pertenece al grupo de administradores.
Requisitos de la cuenta de usuario de máquina virtual de endpoint Linux
- El punto de montaje /tmp debe montarse con la opción de montaje exec.
- Los siguientes son los permisos mínimos necesarios del usuario para instalar agentes y deben mencionarse en el archivo sudoers:
Por ejemplo, para un usuario llamado telegrafinstall, puede encontrar el archivo sudoers en el archivo /etc/sudoers o en la carpeta /etc/sudoers.d/:
Defaults:telegrafinstall !requiretty Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh telegrafinstall ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS
Requisitos previos de usuario de tiempo de ejecución
Existen dos formas de crear un usuario en tiempo de ejecución en las máquinas virtuales de endpoint Linux: de forma automática o manual. Un usuario en tiempo de ejecución tiene un grupo y un nombre estándar, a saber, arcuser y arcgroup respectivamente. Si la casilla de verificación Cree un usuario de tiempo de ejecución en las máquinas virtuales de Linux con los permisos necesarios como parte de la instalación del agente está seleccionada, los usuarios arcuser y arcgroup se crean automáticamente. La casilla de verificación está seleccionada de forma predeterminada. Si elige crear manualmente los usuarios arcuser y arcgroup, estos son los pasos para hacerlo manualmente:
- El arcgroup debe ser el grupo principal del arcuser.
Se pueden utilizar los siguientes comandos para crear los usuarios arcgroup y arcuser:
groupadd arcgroup
useradd arcuser -g arcgroup -M -s /bin/false
- El arcuser se debe crear con un directorio que no sea principal y sin acceso al shell de inicio de sesión.
Por ejemplo, la entrada /etc/passwd para el arcuser es la siguiente tras añadir el arcuser y el arcgroup.
arcuser:x:1001:1001::/home/arcuser:/bin/false
- El usuario arcuser debe tener un conjunto de privilegios específico sin contraseña, como se menciona a continuación, que debe estar escrito en el archivo /etc/sudoers o en la carpeta /etc/sudoers.d/:
Defaults:arcuser !requiretty Cmnd_Alias VAPCOMMANDS=/usr/bin/systemctl * ucp-telegraf.service, !/usr/bin/systemctl * * ucp-telegraf.service, /bin/systemctl * ucp-telegraf.service, !/bin/systemctl * * ucp-telegraf.service, /usr/bin/systemctl * ucp-minion.service, !/usr/bin/systemctl * * ucp-minion.service, /bin/systemctl * ucp-minion.service, !/bin/systemctl * * ucp-minion.service, /usr/bin/systemctl * salt-minion.service, !/usr/bin/systemctl * * salt-minion.service, /bin/systemctl * salt-minion.service, !/bin/systemctl * * salt-minion.service, /usr/bin/systemctl * ucp-salt-minion.service, !/usr/bin/systemctl * * ucp-salt-minion.service, /bin/systemctl * ucp-salt-minion.service, !/bin/systemctl * * ucp-salt-minion.service, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/content/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh, /usr/bin/systemd-run, /bin/systemd-run arcuser ALL=(ALL) NOPASSWD: VAPCOMMANDS