エージェントのインストールに必要な、ユーザー アカウントの前提条件があります。
Windows エンドポイント仮想マシンのユーザー アカウント要件
- エージェントをインストールする場合、
- ユーザーは、管理者か、
- 管理者グループに属している非管理者。
Linux エンドポイント仮想マシンのユーザー アカウント要件
Linux エンドポイント仮想マシンの場合、インストール ユーザーと実行時ユーザーなど、2 つのユーザー アカウントがあります。エージェントのインストール中に提供されるユーザー認証情報は、インストール ユーザー用です。
arcuser はランタイム ユーザーで、エージェントのコンポーネントの実行に必要な権限のセットが必要です。
- /tmp マウント ポイントは exec マウント オプションを使用してマウントする必要があります。
- ユーザーがエージェントをインストールする際に必要な最小の権限は次のとおりです。これらは sudoers ファイルに記載する必要があります。
たとえば、 [telegrafinstall] というユーザーの場合、 sudoers ファイルは /etc/sudoers またはフォルダ /etc/sudoers.d/: にあります。
Defaults:telegrafinstall !requiretty Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh telegrafinstall ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS
[実行時ユーザーの前提条件]
実行時ユーザーを Linux エンドポイント仮想マシンで作成する方法には、自動と手動の 2 つがあります。実行時ユーザーには、標準の名前である arcuser と標準のグループである arcgroup が割り当てられます。[エージェントのインストールの一部として必要な権限を持つ実行時ユーザーを Linux 仮想マシンに作成します] チェックボックスを選択すると、arcuser と arcgroup が自動的に作成されます。デフォルトでは、チェック ボックスは選択されています。arcuser と arcgroup を手動で作成する場合は、以下の手順を実行します。
arcgroup および
arcuser を作成し、
arcuser のプライマリ グループとして
arcgroup を関連付けます。
- arcgroup は、arcuser のプライマリ グループである必要があります。
次のコマンドを使用して arcgroup および arcuser を作成できます。
groupadd arcgroup
useradd arcuser -g arcgroup -M -s /bin/false
- arcuser はホーム ディレクトリなし、かつログイン シェルへのアクセスなしで作成する必要があります。
たとえば、arcuser および arcgroup を追加した後の arcuser の /etc/passwd エントリは次のようになります。
arcuser:x:1001:1001::/home/arcuser:/bin/false
- [arcuser] には、以下に記載するように、パスワードを必要としない特定の権限セットを指定する必要があります。これは、[/etc/sudoers] ファイルまたは [/etc/sudoers.d/] フォルダに含まれている必要があります。
Defaults:arcuser !requiretty Cmnd_Alias VAPCOMMANDS=/usr/bin/systemctl * ucp-telegraf.service, !/usr/bin/systemctl * * ucp-telegraf.service, /bin/systemctl * ucp-telegraf.service, !/bin/systemctl * * ucp-telegraf.service, /usr/bin/systemctl * ucp-minion.service, !/usr/bin/systemctl * * ucp-minion.service, /bin/systemctl * ucp-minion.service, !/bin/systemctl * * ucp-minion.service, /usr/bin/systemctl * salt-minion.service, !/usr/bin/systemctl * * salt-minion.service, /bin/systemctl * salt-minion.service, !/bin/systemctl * * salt-minion.service, /usr/bin/systemctl * ucp-salt-minion.service, !/usr/bin/systemctl * * ucp-salt-minion.service, /bin/systemctl * ucp-salt-minion.service, !/bin/systemctl * * ucp-salt-minion.service, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/content/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh, /usr/bin/systemd-run, /bin/systemd-run arcuser ALL=(ALL) NOPASSWD: VAPCOMMANDS