Instalación y ejecución del Cliente Linux (v5.1 y superior)

Este artículo explica cómo instalar y ejecutar el Cliente Linux de Cato v5.1.

Visión General del Cliente Linux v5.1

A partir de la versión 5.1, el Cliente Linux admite verificaciones de la Postura del Dispositivo que se pueden incluir en sus políticas de Conectividad y Seguridad del Cliente. Esta versión también incluye soporte para conciencia de usuario, actualizaciones automáticas gestionadas por Cato y SSO sin navegador.

Prerequisitos

  • Versiones OS Linux compatibles para 64 bits (X86_64):

    • Ubuntu v18 y superior

    • CentOS v8 y superior

    • Fedora v36 y superior

    • Debian v11 y superior

    • Mint v20.3 y superior

  • Para características basadas en SSO e interfaz gráfica:

    • Se admiten todas las versiones de escritorio Linux (por ejemplo, Gnome y KDE)

    • Defina un navegador predeterminado para el dispositivo (generalmente la configuración predeterminada es para GNOME)

    • El SSO sin interfaz gráfica es compatible solo para Azure. Para más información sobre cómo configurar Azure SSO, vea Configurar Azure SSO para su Administración

  • Los scripts de instalación y ejecución se ejecutan desde la línea de comandos, y requieren abrir una aplicación de terminal

Limitaciones de servicios conocidas

  • La reautenticación automática no es compatible. Los usuarios finales deben reautenticarse con el IdP en el navegador.

Instalando el Cliente Linux

Descargue el archivo del Cliente y ejecútelo en su dispositivo Linux.

Para instalar el Cliente en un dispositivo Linux:

  1. Desde el portal de descarga del Cliente, seleccione la pestaña Linux y descargue el Cliente.

    Los siguientes tipos de archivos están disponibles:

    • .rpm (Gestor de Paquetes Red Hat)

    • Debian (.deb)

  2. Ejecutar el archivo del Cliente:

    • Para el archivo .rpm, ingrese el siguiente comando en el terminal: sudo rpm -i cato-client-install.rpm

    • Para el archivo Debian, ingrese el siguiente comando en el terminal: sudo dpkg -i cato-client-install.deb

Ejecutando el Cliente Linux

Para conectar el Cliente al Cato Cloud en un dispositivo basado en navegador, ejecute el comando: cato-sdp start

Para conectar el Cliente al Cato Cloud en un dispositivo (sin navegador), ejecute el comando: cato-sdp start --account <nombre de cuenta> --user <correo electrónico del usuario SDP>

Nota

Nota: El nombre de la cuenta es el subdominio de la cuenta. Para encontrar el Subdominio, navegue a Access > Single Sign-On.

Autenticación de Navegador Externo

En un dispositivo con un navegador, después de ejecutar el comando de inicio, se abre un navegador. Puede usar el navegador para autenticarse en Cato utilizando el método de autenticación configurado para su cuenta.

Inicio de sesión único (SSO) sin navegador

Para autenticarse con SSO en dispositivos sin navegador, puede usar un dispositivo diferente que tenga un navegador para autenticarse en nombre del dispositivo sin navegador.

Visión General del Inicio de sesión único sin navegador

Puede usar SSO sin navegador para autenticar a los usuarios SDP en entornos sin navegador, por ejemplo, una herramienta de línea de comandos o una impresora, sin necesidad de un navegador. Con SSO sin navegador, puede usar un dispositivo diferente, que tenga un navegador, para autenticarse en nombre del dispositivo sin navegador. Después de autenticarse con éxito a través del navegador, el dispositivo sin navegador se conecta a la Nube de Cato.

La re-autenticación silenciosa no es posible con SSO sin navegador. Después de que el token expire, se requiere que los usuarios SDP se autentiquen nuevamente.

Autenticando con el Inicio de sesión único sin navegador

SSO sin navegador le permite autenticarse en dispositivos sin navegador.

Para autenticarse en un dispositivo sin navegador:

  1. En el dispositivo sin navegador, ejecute el comando: cato-sdp start --account <nombre de la cuenta>.

    Se devuelve un código único y una URL.

    Nota:

    - El nombre de la cuenta es el subdominio de la cuenta. Para encontrar el Subdominio, navegue a Access &gt; Single Sign-On.

    - Para autenticación sin SSO, agregue el parámetro --no-sso

    - El parámetro --headless no es necesario en la versión 5.1.0.21 y superiores

  2. En un dispositivo que tenga un navegador, acceda a la URL y ingrese el código único.

  3. Inicie sesión con sus credenciales de SSO.

    El dispositivo sin navegador está conectado a la Nube de Cato.

Acciones para el Cliente Sistema Operativo Linux

Estas son las acciones que puede usar en el Cliente de Linux. Anteceda cada parámetro con cato-sdp.

Parámetro

Descripción

start

El Cliente se conecta a la Nube Cato

stop

El Cliente se desconecta de la Nube de Cato

help

Muestra la lista de argumentos disponibles

status

Muestra el estado de la conectividad

version

Muestra la versión del Cliente

Support

Contacte Soporte Técnico

Update

Actualice el Cliente a la última versión

import-cert

Importar certificado del dispositivo

Argumentos para el Cliente Sistema Operativo Linux

Estos son los argumentos opcionales que puede usar para diferentes características y configuraciones al ejecutar el Cliente. Cada parámetro debe ser precedido por cato-sdp start.

Parámetro

Descripción

--address<Dirección IP de PoP>

El Cliente se conecta a un PoP de Cato específico (contacte a Soporte para obtener la dirección IP específica). El comportamiento predeterminado es que el Cliente se conecta automáticamente al mejor PoP en la Cato Cloud.

--append {head|tail}

Preserva la configuración existente en /etc/resolv.conf.

Cuando está conectado, el Cliente reemplaza /etc/resolv.conf con la configuración DNS recibida de Cato. El uso de este parámetro añade la configuración de Cato a la configuración existente.

  • head - añade la configuración DNS de Cato antes de la configuración existente, dando preferencia a la configuración de Cato.

  • tail - añade la configuración DNS de Cato después de la configuración existente, dando preferencia a la configuración existente. En ambos casos, /etc/resolv.conf se restaura a su contenido original al desconectarse.

Si Split Tunnel está habilitado en la Cato Management Application, este parámetro se ignora y el Cliente siempre reemplaza el contenido de /etc/resolv.conf.

--cato-sdp soporte

Descargar Cliente registros o enviarlos directamente al equipo de Soporte Técnico.

--floglevel

--gloglevel

Configura los ajustes de registro de archivo (floglevel) o global (gloglevel) para el Cliente:

  • 0 - detallado

  • 1 - depuración

  • 2 - información

  • 3 - advertencia

  • 4 - error

  • 5 - ninguno

--headless

--no-sso

El Cliente funciona en modo headless.

no-sso solicita al Usuario SDP una contraseña. Utilice este argumento en un dispositivo headless en cuentas sin autenticación SSO configurada.

--help

Muestra la pantalla de ayuda.

--metric _métrica_

La ruta creada para el tráfico VPN (ver --route).

Si no se especifica, esta ruta tiene la máxima prioridad en el sistema (idéntica a especificar --metric 0).

--port

Cambia el puerto DTLS (443 o 1337), el puerto 443 es la configuración predeterminada.

--reconn _segundos_

Después de una desconexión, el número de segundos que el Cliente espera antes de intentar reconectar. El Cliente intenta reconectar en este intervalo hasta que se establece una conexión o el Cliente se detiene externamente.

Si este parámetro no se especifica, el Cliente intenta reconectar una vez y si no tiene éxito, sale inmediatamente.

--reg_code

Utiliza un código de registro para autenticarse en el Cliente.

--route

Una única subred que se enruta al túnel en lugar de la ruta predeterminada. Por ejemplo: --route 10.24.0.0/16 crea una ruta específica para que solo esta subred sea enrutada a través de VPN.

Si no se especifica, el Cliente añade una ruta predeterminada para que todo el tráfico se enrute a través de la VPN en el dispositivo (idéntico a especificar --route 0.0.0.0/0).

--usuario, --cuenta, --contraseña, --restablecer-contraseña, --restablecer-credenciales

Credenciales de Usuario de Cato. Estos valores son opcionales para los Usuarios que se autentican con el navegador web.

password es opcional. Cuando se requiere una contraseña, se solicita al usuario que añada una nueva.

reset-cred restablece todas las credenciales del usuario y elimina el token de autenticación (compatible con v5.0 y posteriores).

Nota

Nota: No recomendamos usar el argumento --password.

--use-systemd-resolv

Usa systemd-resolv (en lugar de editar /dev/resolv.conf directamente). Los valores para este parámetro son:

  • 1 - true

  • 0 - false (valor predeterminado)

Al usar el parámetro --use-systemd-resolv con el Cliente, NO use el parámetro append.

--version

Muestra información sobre la versión del Cliente.

--pin

Ingrese el código MFA

Argumentos para los Parámetros de Archivo del Cliente

Puede guardar los argumentos para el Cliente de Linux en un archivo y luego cargar los parámetros al iniciar el Cliente. Estos son los argumentos para el archivo del Cliente:

Parámetro

Descripción

--load_file_

Usa los valores de los parámetros almacenados previamente en el archivo con --save.

Puede sobrescribir cualquier configuración almacenada especificándola en la línea de comando.

Dado que las credenciales también se almacenan en este archivo, asegúrese de mantenerlo privado ya que cualquiera puede usar este archivo para conectarse con las credenciales guardadas.

Alternativamente, puede almacenar una contraseña vacía o incorrecta en el archivo y especificar la correcta en la línea de comando. Por ejemplo: --load _file_ --password '******'

--save_file_

Guarda todos los argumentos pasados en la línea de comando en el archivo dado para su uso con el parámetro --load.

--show_file_

Muestra la configuración almacenada en el archivo usando --save.

Argumentos para la Autenticación del Dispositivo con Certificados

Esta sección contiene argumentos que se usan para los Clientes de Linux que usan Autenticación de Dispositivo con un certificado de dispositivo. Para más información, consulte Distribución e Instalación de Certificados de Dispositivo.

Parámetro

Descripción

--cert <ruta del certificado>

Ruta al archivo de certificado para la Autenticación de Dispositivo. La ruta predeterminada es:

/opt/cato/client_cert/device_cert.p12

Desinstalación del Cliente

Si ya no necesita el Cliente en un dispositivo, puede desinstalarlo. Una vez que el Cliente está desinstalado, no hay forma de que las reglas de red o las políticas de seguridad se apliquen al dispositivo.

Para desinstalar el Cliente:

  1. En el terminal, ejecute el comando para el tipo de archivo que se instaló:

    • .rpm sudo rpm -e cato-client-install

    • .deb sudo dpkg -r cato-client-install

  2. (Opcional) Después de que se complete el proceso de desinstalación, elimine los archivos de configuración restantes en estas ubicaciones

    • sudo rm -rf /opt/cato

    • sudo rm -rf /usr/lib/cato/

    • sudo rm -rf /var/log/cato*.log

    • sudo rm -rf ~/.cato/

  3. Reinicia tu dispositivo.

Si realizaste cambios en la configuración de red de tu sistema durante la instalación del cliente Cato, puede que necesites revertir esos cambios manualmente.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 10

0 comentarios