ユーザーアカウントの前提条件

エージェントのインストールに必要な、ユーザーアカウントの前提条件があります。

Windows エンドポイントの前提条件

エージェントをインストールする場合、
- ユーザーは、管理者か、
- 管理者グループに属している非管理者。

Linux エンドポイントの前提条件

/tmp マウントポイントは exec マウントオプションを使用してマウントする必要があります。
次の行が /etc/sudoers に存在することを確認します。
```
1.root ALL=(ALL:ALL) ALL
2.Defaults:root !requiretty
3.Defaults:arcuser !requiretty
```
root ユーザーに対してパスワードのない sudo がすでに有効になっている場合は、(1) を省略できます。requiretty をオフにするようにエンドポイント仮想マシンがすでに構成されている場合は、(2) および (3) を省略できます。

Linux エンドポイントの場合、インストールユーザーと実行時ユーザーなど、2 つのユーザーアカウントがあります。

[インストールユーザーの前提条件]

Linux エンドポイントには、次のいずれかのインストールユーザーを使用できます。

root ユーザー - すべての権限
すべての権限を持つ非 root ユーザー -

非 root ユーザーまたは非 root ユーザーグループに対するパスワードのない sudo 昇格アクセス。
bob と呼ばれるユーザーのパスワードのない sudo 昇格アクセスを有効にするには、bob ALL=(ALL:ALL) NOPASSWD: ALL を /etc/sudoers に追加します。

bobg と呼ばれるユーザーグループのパスワードのない sudo 昇格アクセスを有効にするには、%bobg ALL=(ALL:ALL) NOPASSWD: ALL を /etc/sudoers に追加します。

特定の権限セットを持つ非 root ユーザー

特定のコマンドにアクセスできる非 root ユーザーに対するパスワードのない sudo 昇格アクセス。ARC_INSTALL_USER に対してパスワードのない sudo 昇格アクセスを有効にするには、sudoers ファイルに次の対応するエントリを追加します。

Defaults:ARC_INSTALL_USER !requiretty
Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh
ARC_INSTALL_USER ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS 
				
For example,for a user bob, add the following lines to /etc/sudoers:
Defaults:bob !requiretty
Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh 
bob ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS

[実行時ユーザーの前提条件]

実行時ユーザーを Linux エンドポイントで作成する方法には、自動と手動の 2 つがあります。実行時ユーザーには、標準の名前である arcuser と標準のグループである arcgroup が割り当てられます。デフォルトでは、arcuser と arcgroup が自動的に作成されます。arcuser と arcgroup を手動で作成する場合は、以下がその要件になります。

手動で作成された arcuser および arcgroup。
arcgroup および arcuser を作成し、arcuser のプライマリグループとして arcgroup を関連付けます。以下がその要件です。
1. arcgroup は、arcuser のプライマリグループである必要があります。
  たとえば、次のコマンドを使用して arcgroup および arcuser を作成できます。
  
  groupadd arcgroup
  
  useradd arcuser -g arcgroup -M -s /bin/false
2. arcuser はホームディレクトリなし、かつログインシェルへのアクセスなしで作成する必要があります。
  たとえば、arcuser および arcgroup を追加した後の arcuser の etc/passwd エントリは次のようになります。
  
  arcuser:x:1001:1001::/home/arcuser:/bin/false
3. arcuser には、次に記載されているように、パスワードのないすべての権限またはパスワードのない特定の権限セットを設定する必要があります。
  実行時 arcuser に対してパスワードのない sudo 昇格アクセスを有効にするには、sudoers ファイルに次の対応するエントリを追加します。
  [すべての権限：]
  arcuser ALL=(ALL:ALL) NOPASSWD: ALL
  [特定の権限セット：]
```
Cmnd_Alias ARC_RUN_COMMANDS=/usr/bin/systemctl * ucp-telegraf*,/bin/systemctl * ucp-telegraf*, /usr/bin/systemctl * ucp-minion*, /bin/systemctl * ucp-minion*, /usr/bin/systemctl * salt-minion*, /bin/sytemctl * salt-minion*, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/uaf/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh
arcuser ALL=(ALL) NOPASSWD: ARC_RUN_COMMANDS
```