Certaines conditions préalables du compte d'utilisateur sont requises pour l'installation des agents.

Conditions préalables pour les points de terminaison Windows

  • Pour installer les agents,
    • l'utilisateur doit être un administrateur, ou
    • un utilisateur non administrateur qui appartient au groupe d'administrateurs.

Conditions préalables pour les points de terminaison Linux

  • Le point de montage /tmp doit être monté avec l'option de montage exec.
  • Assurez-vous que les lignes suivantes existent dans /etc/sudoers.
    1.root ALL=(ALL:ALL) ALL
2.Defaults:root !requiretty
3.Defaults:arcuser !requiretty
    (1) peut être omis si sudo sans mot de passe est déjà activé pour l'utilisateur racine. (2) et (3) peuvent être omis si vos machines virtuelles de point de point de terminaison sont déjà configurées pour arrêter requiretty.

Pour les points de terminaison Linux, il existe deux comptes d'utilisateurs, tels que l'utilisateur d'installation et l'utilisateur d'exécution.

Installer les conditions préalables de l'utilisateur

Vous pouvez utiliser l'un des utilisateurs d'installation suivants pour les points de terminaison Linux.

  • utilisateur racine - tous les privilèges
  • Un utilisateur non racine avec tous les privilèges -

    accès en élévation à sudo sans mot de passe pour un utilisateur non racine ou un groupe d'utilisateurs non racine.

    Pour activer l'accès à l'élévation sudo sans mot de passe pour un utilisateur appelé bob, ajoutez bob ALL=(ALL:ALL) NOPASSWD: ALL à /etc/sudoers.

    Pour activer l'accès à l'élévation sudo sans mot de passe pour un groupe d'utilisateurs appelé bob, ajoutez %bobg ALL=(ALL:ALL) NOPASSWD: ALL à /etc/sudoers.

  • Un utilisateur non racine avec un ensemble spécifique de privilèges -

    Accès à l'élévation sudo sans mot de passe pour un utilisateur non racine ayant accès à certaines commandes. Pour activer l'accès à l'élévation sudo sans mot de passe pour ARC_INSTALL_USER, ajoutez les entrées correspondantes suivantes au fichier sudoers : 
    Defaults:ARC_INSTALL_USER !requiretty
Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh
ARC_INSTALL_USER ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS 
				
For example,for a user bob, add the following lines to /etc/sudoers:
Defaults:bob !requiretty
Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh 
bob ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS

Conditions préalables de l'utilisateur d'exécution

Il y a deux façons de créer un utilisateur d'exécution dans les points de terminaison Linux : automatiquement et manuellement. Un utilisateur d'exécution dispose d'un nom et d'un groupe standard : arcuser et arcgroup, respectivement. Par défaut, arcuser et arcgroup sont créés automatiquement. Si vous choisissez de créer manuellement arcuser et arcgroup, voici les conditions préalables :

  • arcuser et arcgroup créés manuellement.

    Créez arcgroup et arcuser et associez arcgroup en tant que groupe principal de arcuser. Voici les conditions requises :

    1. arcgroup doit être le groupe principal de arcuser.

      Par exemple, les commandes suivantes peuvent être utilisées pour créer arcgroup et arcuser :

      groupadd arcgroup

      useradd arcuser -g arcgroup -M -s /bin/false

    2. arcuser doit être créé sans répertoire racine et sans accès à l'interpréteur de commande de connexion.

      Par exemple, l'entrée etc/passwd pour arcuser est la suivante après l'ajout de arcuser et de arcgroup.

      arcuser:x:1001:1001::/home/arcuser:/bin/false

    3. arcuser doit disposer de tous les privilèges ou d'un ensemble spécifique de privilèges sans mot de passe, comme indiqué ci-dessous :

      Pour activer l'accès à l'élévation sudo sans mot de passe pour arcuser d'exécution, ajoutez les entrées correspondantes suivantes au fichier sudoers.

      Tous les privilèges :

      arcuser ALL=(ALL:ALL) NOPASSWD: ALL

      Ensemble spécifique de privilèges : 
      Cmnd_Alias ARC_RUN_COMMANDS=/usr/bin/systemctl * ucp-telegraf*,/bin/systemctl * ucp-telegraf*, /usr/bin/systemctl * ucp-minion*, /bin/systemctl * ucp-minion*, /usr/bin/systemctl * salt-minion*, /bin/sytemctl * salt-minion*, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/uaf/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh
arcuser ALL=(ALL) NOPASSWD: ARC_RUN_COMMANDS