Se requieren determinados requisitos previos de la cuenta de usuario para la instalación de los agentes.

Requisitos previos para endpoints de Windows

  • Para instalar agentes:
    • El usuario debe ser administrador
    • Un usuario que no es administrador y pertenece al grupo de administradores.

Requisitos previos para endpoints de Linux

  • El punto de montaje /tmp debe montarse con la opción de montaje exec.
  • Asegúrese de que las siguientes líneas existan en /etc/sudoers.
    1.root ALL=(ALL:ALL) ALL
2.Defaults:root !requiretty
3.Defaults:arcuser !requiretty
    (1) puede omitirse si el sudo sin contraseña ya está habilitado para el usuario raíz. (2) y (3) pueden omitirse si las máquinas virtuales del dispositivo ya están configuradas para apagarserequiretty.

Para los endpoints de Linux, hay dos cuentas de usuario: el usuario de instalación y el usuario de tiempo de ejecución.

Requisitos previos de usuario de instalación

Puede utilizar uno de los siguientes usuarios de instalación para endpoints de Linux.

  • Usuario raíz: todos los privilegios
  • Un usuario no raíz con todos los privilegios:

    Acceso de elevación sudo sin contraseña para un usuario no raíz o un grupo de usuarios no raíz.

    Para habilitar el acceso de elevación sudo sin contraseña para un usuario llamado bob, añada bob ALL=(ALL:ALL) NOPASSWD: ALL a /etc/sudoers.

    Para habilitar el acceso de elevación sudo sin contraseña para un grupo de usuarios denominado bobg, añada %bobg ALL=(ALL:ALL) NOPASSWD: ALL a /etc/sudoers.

  • Un usuario no raíz con un conjunto específico de privilegios:

    Acceso de elevación sudo sin contraseña para un usuario no raíz con acceso a determinados comandos Para habilitar el acceso de elevación sudo sin contraseña para ARC_INSTALL_USER, añada las siguientes entradas al archivo sudoers: 
    Defaults:ARC_INSTALL_USER !requiretty
Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh
ARC_INSTALL_USER ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS 
				
For example,for a user bob, add the following lines to /etc/sudoers:
Defaults:bob !requiretty
Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh 
bob ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS

Requisitos previos de usuario de tiempo de ejecución

Existen dos formas de crear un usuario en tiempo de ejecución en dispositivos Linux: de forma automática y manual. Un usuario en tiempo de ejecución tiene un grupo y un nombre estándar, a saber, arcuser y arcgroup respectivamente. De forma predeterminada, arcuser y arcgroup se crean automáticamente. Si elige crear manualmente arcuser y arcgroup, estos son los requisitos previos:

  • arcuser y arcgroup creados manualmente.

    Cree el arcgroup y arcuser asocie el arcgroup como el grupo principal del arcuser. Estos son los requisitos:

    1. El arcgroup debe ser el grupo principal del arcuser.

      Por ejemplo, se pueden utilizar los siguientes comandos para crear el arcgroup y el arcuser:

      groupadd arcgroup

      useradd arcuser -g arcgroup -M -s /bin/false

    2. El arcuser se debe crear con un directorio que no sea principal y sin acceso al shell de inicio de sesión.

      Por ejemplo, la entrada etc/passwd para el arcuser es la siguiente tras añadir el arcuser y el arcgroup.

      arcuser:x:1001:1001::/home/arcuser:/bin/false

    3. El arcuser debe tener todos los privilegios sin contraseña o el conjunto específico de privilegios sin contraseña que se mencionan a continuación:

      Para habilitar el acceso de elevación sudo sin contraseña para el arcuser de tiempo de ejecución, añada las siguientes entradas al archivo sudoers.

      Todos los privilegios:

      arcuser ALL=(ALL:ALL) NOPASSWD: ALL

      Conjunto específico de privilegios: 
      Cmnd_Alias ARC_RUN_COMMANDS=/usr/bin/systemctl * ucp-telegraf*,/bin/systemctl * ucp-telegraf*, /usr/bin/systemctl * ucp-minion*, /bin/systemctl * ucp-minion*, /usr/bin/systemctl * salt-minion*, /bin/sytemctl * salt-minion*, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/uaf/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh
arcuser ALL=(ALL) NOPASSWD: ARC_RUN_COMMANDS