エージェントのインストールに必要な、ユーザー アカウントの前提条件があります。

Windows エンドポイント仮想マシンのユーザー アカウント要件

  • エージェントをインストールする場合、
    • ユーザーは、管理者か、
    • 管理者グループに属している非管理者。

Linux エンドポイント仮想マシンのユーザー アカウント要件

Linux エンドポイント仮想マシンの場合、インストール ユーザーと実行時ユーザーなど、2 つのユーザー アカウントがあります。エージェントのインストール中に提供されるユーザー認証情報は、インストール ユーザー用です。 arcuser はランタイム ユーザーで、エージェントのコンポーネントの実行に必要な権限のセットが必要です。
  • /tmp マウント ポイントは exec マウント オプションを使用してマウントする必要があります。
  • ユーザーがエージェントをインストールする際に必要な最小の権限は次のとおりです。これらは sudoers ファイルに記載する必要があります。
    たとえば、 [telegrafinstall] というユーザーの場合、 sudoers ファイルは /etc/sudoers またはフォルダ /etc/sudoers.d/: にあります。
    Defaults:telegrafinstall !requiretty
    
    Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh 
    
    telegrafinstall ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS

[実行時ユーザーの前提条件]

実行時ユーザーを Linux エンドポイント仮想マシンで作成する方法には、自動と手動の 2 つがあります。実行時ユーザーには、標準の名前である arcuser と標準のグループである arcgroup が割り当てられます。[エージェントのインストールの一部として必要な権限を持つ実行時ユーザーを Linux 仮想マシンに作成します] チェックボックスを選択すると、arcuserarcgroup が自動的に作成されます。デフォルトでは、チェック ボックスは選択されています。arcuserarcgroup を手動で作成する場合は、以下の手順を実行します。

arcgroup および arcuser を作成し、 arcuser のプライマリ グループとして arcgroup を関連付けます。
  1. arcgroup は、arcuser のプライマリ グループである必要があります。

    次のコマンドを使用して arcgroup および arcuser を作成できます。

    groupadd arcgroup

    useradd arcuser -g arcgroup -M -s /bin/false

  2. arcuser はホーム ディレクトリなし、かつログイン シェルへのアクセスなしで作成する必要があります。

    たとえば、arcuser および arcgroup を追加した後の arcuser/etc/passwd エントリは次のようになります。

    arcuser:x:1001:1001::/home/arcuser:/bin/false

  3. [arcuser] には、以下に記載するように、パスワードを必要としない特定の権限セットを指定する必要があります。これは、[/etc/sudoers] ファイルまたは [/etc/sudoers.d/] フォルダに含まれている必要があります。
    Defaults:arcuser !requiretty
    Cmnd_Alias VAPCOMMANDS=/usr/bin/systemctl * ucp-telegraf.service, !/usr/bin/systemctl * * ucp-telegraf.service, /bin/systemctl * ucp-telegraf.service, !/bin/systemctl * * ucp-telegraf.service, /usr/bin/systemctl * ucp-minion.service, !/usr/bin/systemctl * * ucp-minion.service, /bin/systemctl * ucp-minion.service, !/bin/systemctl * * ucp-minion.service, /usr/bin/systemctl * salt-minion.service, !/usr/bin/systemctl * * salt-minion.service, /bin/systemctl * salt-minion.service, !/bin/systemctl * * salt-minion.service, /usr/bin/systemctl * ucp-salt-minion.service, !/usr/bin/systemctl * * ucp-salt-minion.service, /bin/systemctl * ucp-salt-minion.service, !/bin/systemctl * * ucp-salt-minion.service, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/content/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh, /usr/bin/systemd-run, /bin/systemd-run
    arcuser ALL=(ALL) NOPASSWD: VAPCOMMANDS