에이전트 설치에 필요한 특정한 사용자 계정 사전 요구 사항이 있습니다.

Windows 엔드포인트에 대한 사전 요구 사항

  • 에이전트를 설치하려면 다음 조건이 충족되어야 합니다.
    • 사용자는 관리자여야 합니다.
    • 관리자 그룹에 속한 관리자가 아닌 사용자입니다.

Linux 엔드포인트에 대한 사전 요구 사항

  • exec 마운트 옵션을 사용하여 /tmp 마운트 지점을 마운트해야 합니다.
  • /etc/sudoers에 다음 줄이 있는지 확인합니다.
    1.root ALL=(ALL:ALL) ALL
2.Defaults:root !requiretty
3.Defaults:arcuser !requiretty
    (1)은 루트 사용자에 대해 비밀번호 없는 sudo가 이미 활성화된 경우 생략할 수 있습니다. (2) 및 (3)은 엔드포인트 VM이 requiretty를 끄기 위해 이미 구성된 경우 생략할 수 있습니다.

Linux 엔드포인트의 경우 설치 사용자 및 런타임 사용자 같은 두 가지 사용자 계정이 있습니다.

설치 사용자 사전 요구 사항

Linux 엔드포인트에 대해 다음 설치 사용자 중 하나를 사용할 수 있습니다.

  • 루트 사용자 - 모든 권한
  • 모든 권한을 가진 비루트 사용자 -

    비루트 사용자 또는 비루트 사용자 그룹에 대한 비밀번호 없는 sudo 액세스 권한 상승

    bob라는 사용자에 대해 비밀번호 없는 sudo 액세스 권한 상승을 활성화하려면 bob ALL=(ALL:ALL) NOPASSWD: ALL/etc/sudoers에 추가합니다.

    bobg라는 사용자에 대해 비밀번호 없는 sudo 액세스 권한 상승을 활성화하려면 %bobg ALL=(ALL:ALL) NOPASSWD: ALL/etc/sudoers에 추가합니다.

  • 특정 권한 집합을 가진 비루트 사용자 -

    특정 명령에 대한 액세스 권한이 있는 비루트 사용자에 대한 비밀번호 없는 sudo 액세스 권한 상승입니다. ARC_INSTALL_USER에 대한 비밀번호 없는 sudo 액세스 권한 상승을 사용하도록 설정하려면 " sudoers" 파일에 다음 해당 항목을 추가합니다. 
    Defaults:ARC_INSTALL_USER !requiretty
Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh
ARC_INSTALL_USER ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS 
				
For example,for a user bob, add the following lines to /etc/sudoers:
Defaults:bob !requiretty
Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh 
bob ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS

런타임 사용자 사전 요구 사항

Linux 엔드포인트에서 런타임 사용자를 생성하는 방법에는 자동 및 수동 두 가지가 있습니다. 런타임 사용자는 이름이 "arcuser" 및 "arcgroup" 인 표준 이름 및 그룹이 있습니다. 기본적으로 "arcuser" 및 "arcgroup" 은 자동으로 생성됩니다. "arcuser" 및 "arcgroup" 을 수동으로 생성하도록 선택한 경우 사전 요구 사항은 다음과 같습니다.

  • 수동으로 생성된 "arcuser" 및 "arcgroup" .

    "arcgroup" 및 "arcuser" 를 생성하고 "arcgroup" 을 "arcuser" 의 기본 그룹으로 연결합니다. 요구 사항은 다음과 같습니다.

    1. "arcgroup" 은 "arcuser" 의 기본 그룹이어야 합니다.

      예를 들어 다음 명령을 사용하여 "arcgroup" 및 "arcuser" 를 생성할 수 있습니다.

      groupadd arcgroup

      useradd arcuser -g arcgroup -M -s /bin/false

    2. "arcuser" 는 홈 디렉토리가 없고 로그인 셸에 액세스할 수 없도록 만들어야 합니다.

      예를 들어 "arcuser" 및 "arcgroup" 을 추가한 후 "arcuser" 에 대한 etc/passwd 항목은 다음과 같습니다.

      arcuser:x:1001:1001::/home/arcuser:/bin/false

    3. "arcuser" 에는 아래에 언급된 것 처럼 비밀번호 없는 모든 권한 또는 비밀번호 없는 특정 권한 집합이 있어야 합니다.

      런타임 "arcuser" 에 대한 비밀번호 없는 sudo 액세스 권한 상승을 사용하도록 설정하려면 "sudoers" 파일에 다음 해당 항목을 추가하십시오.

      모든 권한:

      arcuser ALL=(ALL:ALL) NOPASSWD: ALL

      특정 권한 집합: 
      Cmnd_Alias ARC_RUN_COMMANDS=/usr/bin/systemctl * ucp-telegraf*,/bin/systemctl * ucp-telegraf*, /usr/bin/systemctl * ucp-minion*, /bin/systemctl * ucp-minion*, /usr/bin/systemctl * salt-minion*, /bin/sytemctl * salt-minion*, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/uaf/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh
arcuser ALL=(ALL) NOPASSWD: ARC_RUN_COMMANDS