Certaines conditions préalables du compte d'utilisateur sont requises pour l'installation des agents.
Conditions préalables du compte d'utilisateur de VM de point de terminaison
- Pour installer les agents,
- l'utilisateur doit être un administrateur, ou
- un utilisateur non administrateur qui appartient au groupe d'administrateurs.
Conditions préalables du compte d'utilisateur de VM de point de terminaison Linux
- Le point de montage /tmp doit être monté avec l'option de montage exec.
- Les autorisations minimales nécessaires de l'utilisateur pour installer les agents, qui doivent être mentionnées dans le fichier sudoers, sont les suivantes :
Par exemple, pour un utilisateur appelé telegrafinstall, vous trouverez le fichier sudoers dans le fichier /etc/sudoers ou dans le dossier /etc/sudoers.d/:.
Defaults:telegrafinstall !requiretty Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh telegrafinstall ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS
Conditions préalables de l'utilisateur d'exécution
Il y a deux façons de créer un utilisateur d'exécution dans les VM de point de terminaison Linux : automatiquement et manuellement. Un utilisateur d'exécution dispose d'un nom et d'un groupe standard : arcuser et arcgroup, respectivement. Si la case Créez un utilisateur d'exécution sur des machines virtuelles Linux, avec les autorisations requises dans le cadre de l'installation de l'agent est cochée, arcuser et arcgroup sont créés automatiquement. La case est cochée par défaut. Si vous choisissez de créer manuellement arcuser et arcgroup, voici la procédure manuelle :
- arcgroup doit être le groupe principal de arcuser.
Les commandes suivantes peuvent être utilisées pour créer arcgroup et arcuser :
groupadd arcgroup
useradd arcuser -g arcgroup -M -s /bin/false
- arcuser doit être créé sans répertoire racine et sans accès à l'interpréteur de commande de connexion.
Par exemple, l'entrée /etc/passwd pour arcuser est la suivante après l'ajout de arcuser et de arcgroup.
arcuser:x:1001:1001::/home/arcuser:/bin/false
- L'utilisateur arcuser doit disposer d'un ensemble spécifique de privilèges sans mot de passe, comme indiqué ci-dessous, qui doivent être écrits dans le fichier /etc/sudoers ou dans le dossier /etc/sudoers.d/ :
Defaults:arcuser !requiretty Cmnd_Alias VAPCOMMANDS=/usr/bin/systemctl * ucp-telegraf.service, !/usr/bin/systemctl * * ucp-telegraf.service, /bin/systemctl * ucp-telegraf.service, !/bin/systemctl * * ucp-telegraf.service, /usr/bin/systemctl * ucp-minion.service, !/usr/bin/systemctl * * ucp-minion.service, /bin/systemctl * ucp-minion.service, !/bin/systemctl * * ucp-minion.service, /usr/bin/systemctl * salt-minion.service, !/usr/bin/systemctl * * salt-minion.service, /bin/systemctl * salt-minion.service, !/bin/systemctl * * salt-minion.service, /usr/bin/systemctl * ucp-salt-minion.service, !/usr/bin/systemctl * * ucp-salt-minion.service, /bin/systemctl * ucp-salt-minion.service, !/bin/systemctl * * ucp-salt-minion.service, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/content/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh, /usr/bin/systemd-run, /bin/systemd-run arcuser ALL=(ALL) NOPASSWD: VAPCOMMANDS