Certaines conditions préalables du compte d'utilisateur sont requises pour l'installation des agents.

Conditions préalables du compte d'utilisateur de VM de point de terminaison

  • Pour installer les agents,
    • l'utilisateur doit être un administrateur, ou
    • un utilisateur non administrateur qui appartient au groupe d'administrateurs.

Conditions préalables du compte d'utilisateur de VM de point de terminaison Linux

Pour les VM de point de terminaison Linux, il existe deux comptes d'utilisateurs pour l'agent Telegraf, tels que l'utilisateur d'installation et l'utilisateur d'exécution. Les informations d'identification de l'utilisateur fournies lors de l'installation de l'agent sont destinées à l'utilisateur d'installation. L'utilisateur arcuser est un utilisateur d'exécution et nécessite un ensemble de privilèges nécessaires à l'exécution des composants de l'agent.
  • Le point de montage /tmp doit être monté avec l'option de montage exec.
  • Les autorisations minimales nécessaires de l'utilisateur pour installer les agents, qui doivent être mentionnées dans le fichier sudoers, sont les suivantes :
    Par exemple, pour un utilisateur appelé telegrafinstall, vous trouverez le fichier sudoers dans le fichier /etc/sudoers ou dans le dossier /etc/sudoers.d/:.
    Defaults:telegrafinstall !requiretty
    
    Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh 
    
    telegrafinstall ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS

Conditions préalables de l'utilisateur d'exécution

Il y a deux façons de créer un utilisateur d'exécution dans les VM de point de terminaison Linux : automatiquement et manuellement. Un utilisateur d'exécution dispose d'un nom et d'un groupe standard : arcuser et arcgroup, respectivement. Si la case Créez un utilisateur d'exécution sur des machines virtuelles Linux, avec les autorisations requises dans le cadre de l'installation de l'agent est cochée, arcuser et arcgroup sont créés automatiquement. La case est cochée par défaut. Si vous choisissez de créer manuellement arcuser et arcgroup, voici la procédure manuelle :

Créez arcgroup et arcuser et associez arcgroup en tant que groupe principal de arcuser.
  1. arcgroup doit être le groupe principal de arcuser.

    Les commandes suivantes peuvent être utilisées pour créer arcgroup et arcuser :

    groupadd arcgroup

    useradd arcuser -g arcgroup -M -s /bin/false

  2. arcuser doit être créé sans répertoire racine et sans accès à l'interpréteur de commande de connexion.

    Par exemple, l'entrée /etc/passwd pour arcuser est la suivante après l'ajout de arcuser et de arcgroup.

    arcuser:x:1001:1001::/home/arcuser:/bin/false

  3. L'utilisateur arcuser doit disposer d'un ensemble spécifique de privilèges sans mot de passe, comme indiqué ci-dessous, qui doivent être écrits dans le fichier /etc/sudoers ou dans le dossier /etc/sudoers.d/ :
    Defaults:arcuser !requiretty
    Cmnd_Alias VAPCOMMANDS=/usr/bin/systemctl * ucp-telegraf.service, !/usr/bin/systemctl * * ucp-telegraf.service, /bin/systemctl * ucp-telegraf.service, !/bin/systemctl * * ucp-telegraf.service, /usr/bin/systemctl * ucp-minion.service, !/usr/bin/systemctl * * ucp-minion.service, /bin/systemctl * ucp-minion.service, !/bin/systemctl * * ucp-minion.service, /usr/bin/systemctl * salt-minion.service, !/usr/bin/systemctl * * salt-minion.service, /bin/systemctl * salt-minion.service, !/bin/systemctl * * salt-minion.service, /usr/bin/systemctl * ucp-salt-minion.service, !/usr/bin/systemctl * * ucp-salt-minion.service, /bin/systemctl * ucp-salt-minion.service, !/bin/systemctl * * ucp-salt-minion.service, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/content/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh, /usr/bin/systemd-run, /bin/systemd-run
    arcuser ALL=(ALL) NOPASSWD: VAPCOMMANDS