安裝代理程式需具有特定使用者帳戶的必要條件。
Windows 端點虛擬機器使用者帳戶要求
- 若要安裝代理程式,
- 使用者必須是管理員,或
- 屬於管理員群組的非管理員。
Linux 端點虛擬機器使用者帳戶要求
對於 Linux 端點虛擬機器,應有兩個使用者帳戶用於 Telegraf 代理程式,例如安裝使用者和執行階段使用者。在代理程式安裝期間提供的使用者認證用於安裝使用者。
arcuser 是執行階段使用者,需要一組代理程式元件執行所必需的權限。
- /tmp 安裝點應使用 exec 掛接選項掛接。
- 以下是使用者安裝代理程式所需的最低權限,應在 sudoers 檔案中顯示出來:
例如,對於名為 telegrafinstall 的使用者,可以在 /etc/sudoers 檔案或資料夾 /etc/sudoers.d/ 中找到 sudoers 檔案:
Defaults:telegrafinstall !requiretty Cmnd_Alias ARC_INSTALL_USER_COMMANDS=/usr/bin/cp*,/bin/cp*,/usr/bin/mkdir*,/bin/mkdir*,/usr/bin/chmod*,/bin/chmod*,/opt/vmware/ucp/bootstrap/uaf-bootstrap.sh,/opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh telegrafinstall ALL=(ALL)NOPASSWD: ARC_INSTALL_USER_COMMANDS
執行階段使用者必要條件
在 Linux 端點虛擬機器中可使用兩種方式建立執行階段使用者:自動和手動。執行階段使用者具有標準名稱和群組,分別是 arcuser 和 arcgroup。如果選取在 Linux 虛擬機器上建立具有代理程式安裝期間所需權限的執行階段使用者核取方塊,則會自動建立 arcuser 和 arcgroup。此核取方塊預設為選取。如果選擇手動建立 arcuser 和 arcgroup,手動建立步驟如下:
建立
arcgroup 和
arcuser,並建立
arcgroup 的關聯,以作為
arcuser 的主要群組。
- arcgroup 必須為 arcuser 的主要群組。
下列指令可用來建立 arcgroup 和 arcuser:
groupadd arcgroup
useradd arcuser -g arcgroup -M -s /bin/false
- arcuser 以沒有首頁目錄且無權限存取殼層登入的狀態下建立。
例如,新增 arcuser 和 arcgroup 後,arcuser 的 /etc/passwd 項目如下所示。
arcuser:x:1001:1001::/home/arcuser:/bin/false
- arcuser 必須具有無密碼的特定權限集 (如下所述),且這些權限必須寫入 /etc/sudoers 檔案或資料夾 /etc/sudoers.d/ 中:
Cmnd_Alias ARC_RUN_COMMANDS=/usr/bin/systemctl * ucp-telegraf*,/bin/systemctl * ucp-telegraf*, /usr/bin/systemctl * ucp-minion*, /bin/systemctl * ucp-minion*, /usr/bin/systemctl * salt-minion*, /bin/sytemctl * salt-minion*, /usr/bin/netstat, /bin/netstat, /opt/vmware/ucp/tmp/telegraf_post_install_linux.sh, /opt/vmware/ucp/bootstrap/uaf-bootstrap.sh, /opt/vmware/ucp/uaf/runscript.sh, /opt/vmware/ucp/ucp-minion/bin/ucp-minion.sh arcuser ALL=(ALL) NOPASSWD: ARC_RUN_COMMANDS