Este artículo explica cómo instalar y ejecutar el Cliente Linux de Cato v5.1.
A partir de la versión 5.1, el Cliente Linux admite verificaciones de la Postura del Dispositivo que se pueden incluir en sus políticas de Conectividad y Seguridad del Cliente. Esta versión también incluye soporte para conciencia de usuario, actualizaciones automáticas gestionadas por Cato y SSO sin navegador.
- Revisa los requisitos previos (especialmente el sistema operativo mínimo del dispositivo) que se enumeran en Preparación para Instalar el Cliente Cato.
-
Para características basadas en SSO e interfaz gráfica:
- Se admiten todas las versiones de escritorio Linux (por ejemplo, Gnome y KDE)
- Defina un navegador predeterminado para el dispositivo (generalmente la configuración predeterminada es para GNOME)
- El SSO sin interfaz gráfica es compatible solo para Azure. Para más información sobre cómo configurar el SSO de Azure, consulte Configuración del SSO de Azure para su cuenta
- Los scripts de instalación y ejecución se ejecutan desde la línea de comandos, y requieren abrir una aplicación de terminal
Descargue el archivo del Cliente y ejecútelo en su dispositivo Linux.
Para instalar el Cliente en un dispositivo Linux:
-
Desde el portal de descarga del Cliente, seleccione la pestaña Linux y descargue el Cliente.
Los siguientes tipos de archivos están disponibles:
- .rpm (Gestor de Paquetes Red Hat)
- Debian (.deb)
-
Ejecutar el archivo del Cliente:
- Para el archivo .rpm, ingrese el siguiente comando en el terminal: sudo rpm -i cato-client-install.rpm
- Para el archivo Debian, ingrese el siguiente comando en el terminal: sudo dpkg -i cato-linux-install.deb
Para conectar el Cliente al Cato Cloud en un dispositivo basado en navegador, ejecute el comando: cato-sdp start
Para conectar el Cliente al Cato Cloud en un dispositivo (sin navegador), ejecute el comando: cato-sdp start --account <nombre de cuenta> --user <correo electrónico del usuario SDP>
Nota
Nota: El nombre de la cuenta es el subdominio de la cuenta. Para encontrar el Subdominio, navegue a Access > Single Sign-On.
En un dispositivo con un navegador, después de ejecutar el comando de inicio, se abre un navegador. Puede usar el navegador para autenticarse en Cato utilizando el método de autenticación configurado para su cuenta.
Para autenticarse con SSO en dispositivos sin navegador, puede usar un dispositivo diferente que tenga un navegador para autenticarse en nombre del dispositivo sin navegador.
Puede usar SSO sin navegador para autenticar a los usuarios SDP en entornos sin navegador, por ejemplo, una herramienta de línea de comandos o una impresora, sin necesidad de un navegador. Con SSO sin navegador, puede usar un dispositivo diferente, que tenga un navegador, para autenticarse en nombre del dispositivo sin navegador. Después de autenticarse con éxito a través del navegador, el dispositivo sin navegador se conecta a la Nube de Cato.
La re-autenticación silenciosa no es posible con SSO sin navegador. Después de que el token expire, se requiere que los usuarios SDP se autentiquen nuevamente.
SSO sin navegador le permite autenticarse en dispositivos sin navegador.
Para autenticarse en un dispositivo sin navegador:
-
En el dispositivo sin navegador, ejecute el comando: cato-sdp start --account <nombre de la cuenta>.
Se devuelve un código único y una URL.
Nota:
- El nombre de la cuenta es el subdominio de la cuenta. Para encontrar el Subdominio, navegue a Acceso > Inicio de Sesión Único.
- Para autenticación sin SSO, agregue el parámetro --no-sso
- El parámetro --headless no es necesario en la versión 5.1.0.21 y superiores
- En un dispositivo que tenga un navegador, acceda a la URL y ingrese el código único.
-
Inicie sesión con sus credenciales de SSO.
El dispositivo sin navegador está conectado a la Nube de Cato.
Estas son las acciones que puede usar en el Cliente de Linux. Anteceda cada parámetro con cato-sdp.
| Parámetro | Descripción |
|---|---|
| start | El Cliente se conecta a la Nube Cato |
| stop | El Cliente se desconecta de la Nube de Cato |
| help | Muestra la lista de argumentos disponibles |
| status | Muestra el estado de la conectividad |
| version | Muestra la versión del Cliente |
| Support | Contacte Soporte Técnico |
| Update | Actualice el Cliente a la última versión |
| import-cert | Importar certificado del dispositivo |
Estos son los argumentos opcionales que puede usar para diferentes características y configuraciones al ejecutar el Cliente. Cada parámetro debe ser precedido por cato-sdp start.
| Parámetro | Descripción |
|---|---|
| --address<Dirección IP de PoP> | El Cliente se conecta a un PoP de Cato específico (contacte a Soporte para obtener la dirección IP específica). El comportamiento predeterminado es que el Cliente se conecta automáticamente al mejor PoP en la Cato Cloud. |
| --append {head|tail} |
Preserva la configuración existente en /etc/resolv.conf. Cuando está conectado, el Cliente reemplaza /etc/resolv.conf con la configuración DNS recibida de Cato. El uso de este parámetro añade la configuración de Cato a la configuración existente.
Si Split Tunnel está habilitado en la Cato Management Application, este parámetro se ignora y el Cliente siempre reemplaza el contenido de /etc/resolv.conf. |
| --cato-sdp support | Descargar registros del Cliente o enviarlos directamente al equipo de Soporte Técnico. |
|
--floglevel --gloglevel |
Configura los ajustes de registro de archivo (floglevel) o global (gloglevel) para el Cliente:
|
|
--headless --no-sso |
El Cliente funciona en modo headless. no-sso solicita al Usuario SDP una contraseña. Utilice este argumento en un dispositivo headless en cuentas sin autenticación SSO configurada. |
| --help | Muestra la pantalla de ayuda. |
| --metric _métrica_ |
La ruta creada para el tráfico VPN (ver --route). Si no se especifica, esta ruta tiene la máxima prioridad en el sistema (idéntica a especificar --metric 0). |
| --port | Cambia el puerto DTLS (443 o 1337), el puerto 443 es la configuración predeterminada. |
| --reconn _segundos_ |
Después de una desconexión, el número de segundos que el Cliente espera antes de intentar reconectar. El Cliente intenta reconectar en este intervalo hasta que se establece una conexión o el Cliente se detiene externamente. Si este parámetro no se especifica, el Cliente intenta reconectar una vez y si no tiene éxito, sale inmediatamente. |
| --reg_code | Utiliza un código de registro para autenticarse en el Cliente. |
| --route |
Una única subred que se enruta al túnel en lugar de la ruta predeterminada. Por ejemplo: --route 10.24.0.0/16 crea una ruta específica para que solo esta subred sea enrutada a través de VPN. Si no se especifica, el Cliente añade una ruta predeterminada para que todo el tráfico se enrute a través de la VPN en el dispositivo (idéntico a especificar --route 0.0.0.0/0). |
| --usuario, --cuenta, --contraseña, --restablecer-contraseña, --restablecer-credenciales |
Credenciales de Usuario de Cato. Estos valores son opcionales para los Usuarios que se autentican con el navegador web. password es opcional. Cuando se requiere una contraseña, se solicita al usuario que añada una nueva. reset-cred restablece todas las credenciales del usuario y elimina el token de autenticación (compatible con v5.0 y posteriores). NotaNota: No recomendamos usar el argumento --password. |
| --use-systemd-resolv |
Usa systemd-resolv (en lugar de editar /dev/resolv.conf directamente). Los valores para este parámetro son:
Al usar el parámetro --use-systemd-resolv con el Cliente, NO use el parámetro append. |
| --version | Muestra información sobre la versión del Cliente. |
| --pin | Ingrese el código MFA |
Puede guardar los argumentos para el Cliente de Linux en un archivo y luego cargar los parámetros al iniciar el Cliente. Estos son los argumentos para el archivo del Cliente:
| Parámetro | Descripción |
|---|---|
| --load_file_ |
Usa los valores de los parámetros almacenados previamente en el archivo con --save. Puede sobrescribir cualquier configuración almacenada especificándola en la línea de comando. Dado que las credenciales también se almacenan en este archivo, asegúrese de mantenerlo privado ya que cualquiera puede usar este archivo para conectarse con las credenciales guardadas. Alternativamente, puede almacenar una contraseña vacía o incorrecta en el archivo y especificar la correcta en la línea de comando. Por ejemplo: --load _file_ --password '******' |
| --save_file_ | Guarda todos los argumentos pasados en la línea de comando en el archivo dado para su uso con el parámetro --load. |
| --show_file_ | Muestra la configuración almacenada en el archivo usando --save. |
Esta sección contiene argumentos que se usan para los Clientes de Linux que usan Autenticación de Dispositivo con un certificado de dispositivo. Para más información, consulte Distribución e Instalación de Certificados de Dispositivo.
| Parámetro | Descripción |
|---|---|
| --cert <ruta del certificado> |
Ruta al archivo de certificado para la Autenticación de Dispositivo. La ruta predeterminada es:
|
Si ya no necesita el Cliente en un dispositivo, puede desinstalarlo. Una vez que el Cliente está desinstalado, no hay forma de que las reglas de red o las políticas de seguridad se apliquen al dispositivo.
Para desinstalar el Cliente:
-
En el terminal, ejecute el comando para el tipo de archivo que se instaló:
- .rpm
sudo rpm -e cato-client-install - .deb
sudo dpkg -r cato-linux-install
- .rpm
-
(Opcional) Después de que el proceso de desinstalación esté completo, elimine los archivos de configuración restantes en estas ubicaciones
- sudo rm -rf /opt/cato
- sudo rm -rf /usr/lib/cato/
- sudo rm -rf /var/log/cato*.log
- sudo rm -rf ~/.cato/
- Reinicie su Dispositivo.
Si realizó cambios en la configuración de red de su sistema durante la instalación del cliente Cato, es posible que necesite revertir esos cambios manualmente.
0 comentarios
El artículo está cerrado para comentarios.