Wiki-Quellcode von Unix Agent installieren
Zuletzt geändert von jklein am 2025/05/21 06:42
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | {{aagon.floatingbox/}} | ||
| 2 | |||
| 3 | (% class="wikigeneratedid" %) | ||
| 4 | Der Unix Agent ist die Weiterentwicklung des Linux- und Mac-Agents. Der Agent kann über ein mitgeliefertes Client Command ohne Python verteilt und installiert werden. Die Inventardaten werden vollständig an den ACMP Server übermittelt und aktualisiert. Seit ACMP 6.8 ist es zudem möglich, inventarisierte Clients mit Linux- oder MacOS-Betriebssystem über Container zu verwalten und Jobs auf Ihnen auszuführen. | ||
| 5 | |||
| 6 | = Installationsvoraussetzungen = | ||
| 7 | |||
| 8 | Für die Installation des Unix Agent gibt es mehrere Voraussetzungen an Sie und Ihr System. | ||
| 9 | |||
| 10 | === Anforderungen an Ihre Kenntnisse mit ACMP === | ||
| 11 | |||
| 12 | * Sie wissen grundlegend, wie man den SICS konfiguriert. | ||
| 13 | * Sie wissen, wie man Client Commands in ACMP importiert. | ||
| 14 | * Sie können Client Commands ausführen. | ||
| 15 | |||
| 16 | === Anforderungen an Ihre Umgebung === | ||
| 17 | |||
| 18 | * ACMP ist installiert. | ||
| 19 | * Der SICS ist auf einem Server installiert. | ||
| 20 | * Der ACMP Server ist mit dem SICS verbunden. | ||
| 21 | * SICS-Benutzern ist der Zugriff auf die Public API erlaubt. | ||
| 22 | |||
| 23 | === Anforderungen an Ihre MacOS- und Linux-Systeme === | ||
| 24 | |||
| 25 | In unseren [[generellen Systemanforderungen>>https://www.aagon.com/produkte/ueberblick/systemanforderungen-acmp/#c4421]] finden Sie eine Übersicht aller getesteten Distributionen. | ||
| 26 | |||
| 27 | Darüber hinaus sind bestimmte Einstellungen an Ihren Systemen erforderlich: | ||
| 28 | |||
| 29 | * Ein installierter SSH-Server, der von außen erreichbar ist (wichtig für die Agentenverteilung). | ||
| 30 | * Root darf sich von außen per ssh einloggen oder alternativ ein Benutzer, der sich per sudo Root-Rechte beschaffen darf (für Alternative muss sudo installiert sein). | ||
| 31 | * Linux- und MacOS-Clients müssen den SICS über Rest erreichen können (mögliche Firewalls müssen Port 3950 durchlassen). | ||
| 32 | * Firewall-Einstellungen für den SICS müssen ggf. angepasst werden können. | ||
| 33 | |||
| 34 | {{aagon.warnungsbox}} | ||
| 35 | Wenn Sie den Unix-Agent auf MacOS-Geräte mit einem M1- oder M2-Chip installieren möchten, müssen Sie zuvor das Framework //Rosetta 2 //auf Ihren MacOS-Geräten installieren. Weitere Informationen dazu finden Sie [[im Apple Support.>>https://support.apple.com/de-de/102527]] | ||
| 36 | {{/aagon.warnungsbox}} | ||
| 37 | |||
| 38 | = Installation mit dem Client Command = | ||
| 39 | |||
| 40 | Für die Installation des Unix Agents ist eine bestehende SICS-Verbindung zum ACMP-Server erforderlich. Sollten Sie noch keine SICS-Verbindung konfiguriert haben, müssen Sie dieses zuerst tun. Eine Anleitung zur Konfiguration der SICS-Verbindung finden Sie im Abschnitt [[SICS-Verbindung konfigurieren>>doc:AESB.19.AESB installieren, konfigurieren und aktualisieren.SICS-Verbindung konfigurieren.WebHome]]. | ||
| 41 | |||
| 42 | Die Installation des Unix Agent erfolgt über ein Client Command in ACMP (siehe Installationsverzeichnis des ACMP Servers (\ACMP Server\Installers\AESB - Verzeichnis: UNIX Agent). Dafür muss das Client Command erst importiert und freigegeben werden. | ||
| 43 | |||
| 44 | {{aagon.warnungsbox}} | ||
| 45 | Die Installation des Unix Agent stoppt und entfernt den Linux Agent. | ||
| 46 | |||
| 47 | Die vom Linux Agent verwendete ClientID bleibt erhalten und wird vom Unix Agent weiterverwendet. | ||
| 48 | {{/aagon.warnungsbox}} | ||
| 49 | |||
| 50 | === Client Command importieren und freigeben === | ||
| 51 | |||
| 52 | Die Datei für das benötigte Client Command des Unix Agent ist strukturell wie im folgenden Beispiel benannt: | ||
| 53 | |||
| 54 | {{{ACMP Unix Agent verteilen & Inventory__{1F5A4238-731B-44B6-84F0-3EFB8F2D3222}.sim}}} | ||
| 55 | |||
| 56 | Wie Sie ein Client Command in ACMP importieren und freigeben, können Sie im Abschnitt [[Client Commands erstellen>>doc:ACMP.68.ACMP-Solutions.Desktop Automation.Client Commands.Client Command erstellen.WebHome||anchor="HImport"]] nachlesen. | ||
| 57 | |||
| 58 | {{aagon.warnungsbox}} | ||
| 59 | Für eine korrekte Erfassung, durch welche die Clients verwaltbar werden, muss die Version des Unix Agents passend zu Ihrer ACMP Version genutzt werden. Anderenfalls werden Ihre Linux- und MacOS-Clients nicht als verwaltbare Clients erfasst. | ||
| 60 | {{/aagon.warnungsbox}} | ||
| 61 | |||
| 62 | === Client Command ausführen === | ||
| 63 | |||
| 64 | Nachdem Sie das Client Command freigegeben haben, können Sie es ausführen. | ||
| 65 | |||
| 66 | Navigieren Sie in der ACMP Console zu //Client Commands > Ausführen//. Wählen Sie anschließend mit einem Doppelklick das Client Command für den Unix Agent aus. | ||
| 67 | |||
| 68 | Klicken Sie im sich öffnenden Dialogfenster auf den Button //Ausführen//. Nun öffnet sich das Interface des Client Commands, in dem Sie die Installation des Unix Agent konfigurieren können. | ||
| 69 | |||
| 70 | [[Konfiguration des Unix Agents mit Hilfe des Client Commands>>image:Unix Agent - Fallback-SICS.png||alt="Konfiguration des Unix Agents mit Hilfe des Client Commands" data-xwiki-image-style-alignment="center" height="600" width="480"]] | ||
| 71 | |||
| 72 | = Konfiguration des Unix Agents = | ||
| 73 | |||
| 74 | Für die Konfiguration des Unix Agents gibt es im Client Command verschiedene Bereiche, in denen Sie die spezifischen Einstellungen vornehmen können. | ||
| 75 | |||
| 76 | === SSH-Berechtigungsnachweise === | ||
| 77 | |||
| 78 | Die Übertragung des Unix Agent auf die Zielrechner erfolgt hierbei per SSH, es müssen entsprechend valide Benutzerdaten angegeben werden. Anders als der Linux Agent, überträgt der Unix Agent die Scandaten direkt an den ACMP-Server. | ||
| 79 | |||
| 80 | {{aagon.warnungsbox}} | ||
| 81 | Der Benutzer, dessen Benutzerdaten als SSH-Berechtigungsnachweise für die Installation angegeben werden, muss auf jedem der Zielrechner angelegt sein und dort „sudo"-Rechte (Superuser do) besitzen. | ||
| 82 | {{/aagon.warnungsbox}} | ||
| 83 | |||
| 84 | === Clients auswählen === | ||
| 85 | |||
| 86 | In der oberen rechten Ecke des Dialogfensters können Sie über die IPv4-Adresse festlegen, auf welchen Clients der Unix Agent verteilt werden soll. Dafür können Sie entweder einen IPv4-Bereich angeben oder eine Liste von IPv4-Adressen zusammenstellen. | ||
| 87 | |||
| 88 | === SICS-Berechtigungsnachweise angeben === | ||
| 89 | |||
| 90 | Für die Installation des Unix Agents auf den Zielrechnern müssen Sie Ihre SICS-Verbindungsdaten angeben. | ||
| 91 | |||
| 92 | **SICS Benutzer** | ||
| 93 | |||
| 94 | Für den SICS Benutzer können Sie einen AESB Benutzer mit minimalen Berechtigungen anlegen. Dieser Benutzer muss in der AESB Console angelegt werden. Weitere Informationen dazu finden Sie im Abschnitt [[AESB Benutzer verwalten>>doc:AESB.110.Workspaces.Benutzer.WebHome||anchor="HBenutzerverwalten"]]. | ||
| 95 | |||
| 96 | **SICS Server** | ||
| 97 | |||
| 98 | Der angegebene Endpunkt muss dabei in Format „wss:~/~/server:port“ angegeben werden, wie beispielsweise: | ||
| 99 | |||
| 100 | * wss:~/~/ipaddress:port | ||
| 101 | * wss:~/~/hostname:port | ||
| 102 | * wss:~/~/FQHN:port (Fully-Qualified Host Name) | ||
| 103 | |||
| 104 | Beachten Sie, dass alle Zielrechner einen Zugriff auf diesen Endpunkt benötigen. Die weiteren Benutzerdaten haben Sie bei der AESB-Installation für den Operator vergeben. | ||
| 105 | |||
| 106 | **SICS Fallbacks** | ||
| 107 | |||
| 108 | In den Tabs können Sie mehrere Fallback-SICS-Verbindungen angeben. Sollte die primäre SICS-Verbindung ausfallen und nicht genutzt werden können, erfolgt der Versuch, eine Verbindung zu einem anderen definierten SICS aufzubauen und die Übertragung über eine der Fallback-Verbindungen durchzuführen. Dabei wird die Liste der Fallback-SICS-Verbindungen beginnend mit dem Fallback-SICS #1 fortlaufend verwendet, bis eine Verbindung zu einem der definierten Fallback-SICS aufgebaut werden konnte oder keine weiteren Fallback-Verbindungen in der Liste vorhanden sind. | ||
| 109 | |||
| 110 | (% class="box infomessage" %) | ||
| 111 | ((( | ||
| 112 | [[image:https://doc.aagon.com/bin/download/XWiki/Aagon Infobox/WebHome/Information.svg||alt="Hinweis" height="32" width="32"]] **Hinweis: ** | ||
| 113 | |||
| 114 | Sofern die Verbindung zu einem der definierten Fallback-SICS erfolgreich hergestellt werden konnte, wird die Verbindung bis zum nächsten Neustart beibehalten. | ||
| 115 | ))) | ||
| 116 | |||
| 117 | === Optionen === | ||
| 118 | |||
| 119 | Im Bereich //Optionen //können Sie Einstellungen für das Logging vornehmen und festlegen, in welchem Modus der Agent ausgeführt werden soll. | ||
| 120 | |||
| 121 | **Protokollierung aktivieren** | ||
| 122 | |||
| 123 | Durch das Auswählen der Option //Protokollierung aktivieren//, können Sie die Logs nach der Installation oder Ausführung auf Ihren Rechner (bzw. den Rechner mit der ACMP-Console) laden. Das Aktivieren der Protokollierung ist bereits an dieser Stelle im Client Command verfügbar und kann sinnvoll sein, da bei der Installation oder der Ausführung als Inventory One-Time-Scan Fehler auftreten können. | ||
| 124 | |||
| 125 | **Einmaliger Scan** | ||
| 126 | |||
| 127 | Für die einmalige Inventarisierung eines Clients, kann der Agent im Modus //Einmaliger Scan// ausgeführt werden. Der Unix Agent wird nun auf den Zielrechner übertragen und gestartet. Nach der erfolgreichen Ausführung der Scanner wird der Agent wieder von dem System entfernt. Damit bei einer erneuten Ausführung des Modus //Einmaliger Scan// die neuen Ergebnisse entsprechend zugeordnet werden können, verleibt die ClientID auf dem Client. Diese finden Sie unter dem Pfad: ##/etc/aagon/ACMPUnixAgent/agentId## | ||
| 128 | |||
| 129 | **Agent-Installation** | ||
| 130 | |||
| 131 | Für die Installation des Unix Agent als permanente Ressource, können Sie den Agent im Modus //Agent-Installation// ausführen. Der Unix Agent wird nun auf den Zielrechner übertragen und als Service registriert. Im Anschluss an die Installation startet sich der Agent automatisch und bezieht innerhalb von 10 Minuten seine Konfiguration vom ACMP. Der Agent ist nun als Client im ACMP eingetragen und enthält die grundlegenden Client-Details. Die Ausführungsdatei finden Sie unter dem Pfad: ##/usr/local/sbin/aagon/ACMPUnixAgent/## | ||
| 132 | |||
| 133 | Außerdem verwendet der Agent ein weiteres Verzeichnis zum Speichern von diversen Ressourcen, die für den Agent relevant sind. Dieses Verzeichnis finden Sie unter dem Pfad:## /etc/aagon/ACMPUnixAgent/## | ||
| 134 | |||
| 135 | ((( | ||
| 136 | Für die Ausführung der Scanner werden die Agentenplanervorlagen verwendet. Diese können genauso genutzt werden, wie beim ACMP Windows Agent (Container). Aktuell werden die folgenden Jobs innerhalb des Agentenplaners berücksichtigt: | ||
| 137 | ))) | ||
| 138 | |||
| 139 | * System Scanner | ||
| 140 | * Software Scanner | ||
| 141 | * Einstellungen aktualisieren | ||
| 142 | |||
| 143 | **Agent deinstallieren** | ||
| 144 | |||
| 145 | Für die Deinstallation des Unix Agent als Service, können Sie den Agent im Modus //Agent deinstallieren// ausführen. Der registrierte Unix Agent Service wird nun mitsamt der Ausführungsdatei vom Zielrechner entfernt. | ||
| 146 | |||
| 147 | === Aktivierte Scanner === | ||
| 148 | |||
| 149 | Im Bereich //Aktivierte Scanner// können Sie einzelne Scanner deaktivieren. Das ist sinnvoll, sofern Sie bestimmte Informationen nicht benötigen oder es bei einem oder mehreren Scannern zu Problemen kommt. | ||
| 150 | |||
| 151 | === CC-Einstellungen === | ||
| 152 | |||
| 153 | Durch Anklicken der Checkbox im Bereich CC-Einstellungen können Sie festlegen, dass keine vertraulichen Informationen (z.B. Passwörter) im Client Command gespeichert werden. | ||
| 154 | |||
| 155 | === Feedback zur Ausführung === | ||
| 156 | |||
| 157 | Nach der Ausführung des Client Commands erhalten Sie in einem Dialogfenster eine Information, ob das Client Command erfolgreich ausgeführt wurde. Dabei wird Ihnen die Anzahl der verarbeiteten Clients angezeigt und eine Angabe dazu, ob Verbindungsfehler (SSH-Errors) entdeckt wurden. | ||
| 158 | |||
| 159 | {{figure}} | ||
| 160 | [[image:CC_Erfolgsmeldung.png||alt="Erfolgsmeldung über Installation vom Unix Agent" data-xwiki-image-style-alignment="center"]] | ||
| 161 | |||
| 162 | {{figureCaption}} | ||
| 163 | Erfolgsmeldung über Installation vom Unix Agent | ||
| 164 | {{/figureCaption}} | ||
| 165 | {{/figure}} | ||
| 166 | |||
| 167 | = Logging = | ||
| 168 | |||
| 169 | Sollte es bei der Ausführung vom Unix Agent zu Verbindungsfehler kommen, werden diese Fehler in die Datei ##SSH_Errors.log## und in das Log des Client Commands geschrieben. Die Datei finden Sie entweder im Standard-Ordner ##C:\Logs## oder in dem Verzeichnis, das Sie für das Logging des Unix Agents angegeben haben. | ||
| 170 | |||
| 171 | {{aagon.infobox}} | ||
| 172 | Diese Verbindungsfehler führen nicht zu einem Abbruch des Client Commands. Daher werden diese Fehler nicht angezeigt, wenn Sie die Logging-Einstellung //Nur bei Fehlern //für das Consolen-Log ausgewählt haben. | ||
| 173 | {{/aagon.infobox}} | ||
| 174 | |||
| 175 | Falls Sie also nach einer Ausführung des Client Commands direkt Feedback über mögliche Verbindungsfehler haben möchte, sollte Sie für die Logging-Einstellung des Consolen-Logs entweder die Option //Immer //wählen oder in der Datei ##SSH_Errors.log## nachschauen. | ||
| 176 | |||
| 177 | = Troubleshooting = | ||
| 178 | |||
| 179 | Im Folgenden finden Sie Lösungen zu verschiedenen Problemen, die bei der Installation des Unix Agent auftreten können. | ||
| 180 | |||
| 181 | ---- | ||
| 182 | |||
| 183 | **Symptom:** Der Unix Agent konnte nicht auf den Clients verteilt werden und im Log werden keine Fehler angezeigt. | ||
| 184 | |||
| 185 | **Ursache: **Der Unix Agent ist noch gar nicht als Service vorhanden, daher können auch keine Fehler in das Log geschrieben werden. | ||
| 186 | |||
| 187 | **Maßnahme: **Beginnen Sie die Fehlersuche im journalctl Ihres Systems und suchen Sie dort nach Einträgen zur fehlgeschlagenen Installation des Unix Agents. | ||
| 188 | |||
| 189 | ---- | ||
| 190 | |||
| 191 | **Symptom:** Nach der Verteilung des Unix Agents mittels des Client Commands taucht der Unix-Client nicht in ACMP auf. | ||
| 192 | |||
| 193 | **Ursache:** Es trat ein Fehler bei der Ausführung des Client Commands auf, der aber aufgrund der Einstellungen nicht direkt ersichtlich war. | ||
| 194 | |||
| 195 | **Maßnahme:** Aktivieren Sie in den Eigenschaften des Client Commands im Plugin //Optionen //in der Combobox //Consolen-Log anzeigen// die Option //Nur bei Fehlern// und bestätigen Sie den | ||
| 196 | Dialog mit //OK//. Nach einer erneuten Ausführung des Client Commands, sollte nun im Falle eines Fehlers ein Consolen-Log angezeigt werden, das ggf. Aufschluss über die Ursache des Problems liefert. | ||
| 197 | |||
| 198 | Falls die Unix-Systeme immer noch nicht im ACMP auftauchen, kann dies viele Gründe haben. Deswegen empfiehlt es sich, das Logging für den Agent und den SICS zu aktivieren. Anschließend sollte man die Kette von Anfang bis Ende durchgehen. | ||
| 199 | |||
| 200 | ---- | ||
| 201 | |||
| 202 | **Symptom:** Nach der Verteilung des Unix Agents mittels des Client Commands taucht der Unix-Client nicht in ACMP auf. Im SmartInspect Log wird der Fehler „Invalid input detected: endpoint" angezeigt. | ||
| 203 | |||
| 204 | **Ursache:** Es trat ein Fehler bei der Verbindung zum SICS auf, weil das Protokoll ggf. bei der Verbindung nicht vorangestellt wurde. Dies können Sie im SmartInspect Log in der Zeile //Application settings// erkennen: ##„SicsEndpoint: <AESB-SICS-NAME_IP>:3950“## | ||
| 205 | |||
| 206 | **Maßnahme:** Stellen Sie sicher, dass als SICS-Endpoint ##wss:~/~/<AESB-SICS-NAME_IP>:3950## verwendet wird und nicht nur ##<AESB-SICS-NAME_IP>:3950## | ||
| 207 | |||
| 208 | ---- | ||
| 209 | |||
| 210 | **Symptom:** Der Unix Agent liegt nicht auf dem Zielsystem an der Stelle: ##/usr/local/sbin/aagon/ACMPUnixAgent.## | ||
| 211 | |||
| 212 | **Ursache:** Diesem Problem können mehrere Ursachen zugrunde liegen: | ||
| 213 | |||
| 214 | * Der Loginuser darf sich nicht per sudo Root-Rechte verschaffen. | ||
| 215 | * Der User besitzt Root-Rechte, aber Root darf sich nicht per SSH einloggen. | ||
| 216 | * Der User besitzt Root-Rechte und Root darf sich nicht per SSH einloggen, aber der SSH-Daemon läuft nicht ordnungsgemäß. | ||
| 217 | |||
| 218 | **Maßnahme:** Stellen Sie sicher, dass der SSH-Benutzer sich per SSH einloggen darf und sich Root-Rechte verschaffen kann. | ||
| 219 | |||
| 220 | ---- | ||
| 221 | |||
| 222 | **Symptom:** Der Unix Agent startet, erreicht aber nicht den Status //running//. | ||
| 223 | |||
| 224 | **Ursache:** Der Agent scheint keine Verbindung zum SICS zu bekommen. | ||
| 225 | |||
| 226 | **Maßnahme:** Überprüfen Sie, ob die Netzwerkverbindung zum SICS funktioniert. Falls dies das Problem nicht behebt, aktivieren Sie das Client Command das Logging und führen Sie die Aktion erneut durch. Suchen Sie anschließend in der Ausgabe nach Fehlermeldungen. | ||
| 227 | |||
| 228 | ---- | ||
| 229 | |||
| 230 | **Symptom:** Der Agent wird beim Systemstart nicht mit gestartet. | ||
| 231 | |||
| 232 | **Ursache:** Beim Einrichten oder Starten des Dienstes ist etwas fehlgeschlagen. | ||
| 233 | |||
| 234 | **Maßnahme:** Führen Sie das Client Command zur Installation des Unix-Agent erneut aus. | ||
| 235 | |||
| 236 | ---- | ||
| 237 | |||
| 238 | **Symptom:** Der Unix Agent läuft, aber der entsprechende Unix-Client taucht nicht in einer ACMP-Abfrage auf. | ||
| 239 | |||
| 240 | **Ursache:** Der SICS kann die Scan-Daten des Unix Agenten nicht an den ACMP Server weiterleiten, weil die Verbindung nicht verfügbar ist. | ||
| 241 | |||
| 242 | **Maßnahme:** Prüfen Sie in den Einstellungen der ACMP Console, ob die SICS-Verbindung des ACMP Servers noch funktioniert (im Plugin ACMP Server / SICS-Verbindung) und ob die Checkbox für den Zugriff von SICS-Benutzern auf die Public API aktiviert ist. Weitere Informationen zu diesem Problem finden Sie ggf. im Log des ACMP Servers oder des Unix Agents. | ||
| 243 | |||
| 244 | ---- | ||
| 245 | |||
| 246 | **Symptom:** In einer ACMP-Abfrage taucht der Unix-Client auf, aber es sind keine Scandaten verfügbar. | ||
| 247 | |||
| 248 | **Ursache:** Bei der Installation wird zwischen 2 und 10 Minuten gewartet, bis mittels einer Anfrage an den ACMP Server die für diesen Unix-Client getätigten Scan-Einstellungen geholt werden. | ||
| 249 | |||
| 250 | **Maßnahme: **Warten Sie ggf. noch etwas länger, bis die Scandaten geladen wurden. Falls nach deutlich mehr als 10 Minuten immer noch keine Scandaten auftauchen, sollten Sie das Logging für alle beteiligten Komponenten aktivieren und die gesamte Kette von Anfang bis Ende auf Fehler prüfen. | ||
| 251 | |||
| 252 | = Verwaltbarkeit von Linux- und MacOS-Clients = | ||
| 253 | |||
| 254 | Bisher konnten Clients, die ein Linux- oder MacOS-Betriebssystem haben, mit dem Unix Agent nur erfasst und inventarisiert werden. Sie waren jedoch nicht verwaltbar und es konnten keine Shell Scripts bzw. Jobs generell auf diesen Clients ausgeführt werden. Neu erfasste Linux- und MacOS-Clients sind von nun allerdings verwaltbar, wenn sie über den Unix Agent inventarisiert werden. Damit ist auch die automatisierte, zeitgesteuerte Ausführung von Unix Scripts als Jobs möglich. Weitere Informationen dazu finden Sie im Abschnitt [[Unix Scripts>>doc:ACMP.68.ACMP-Solutions.Desktop Automation.Unix Scripts.WebHome]]. | ||
| 255 | |||
| 256 | {{aagon.infobox}} | ||
| 257 | Alle Linux- und MacOS-Clients, die mit dem Unix Agent Version 1.10 oder älter erfasst wurden, sind nicht verwaltbar! Damit Ihre Clients mit Linux- oder MacOS-Systemen verwaltbar werden, müssen Sie Ihre bereits erfassten Linux- und MacOS-Clients noch einmal neu über den Unix Agent erfassen. | ||
| 258 | {{/aagon.infobox}} |