Démarrage avec le Client Linux

Cet article explique comment installer et exécuter le Client Linux de Cato v5.1.

Vue d'ensemble

À partir de la version 5.1, le Client Linux prend en charge les vérifications de posture d'appareil qui peuvent être incluses dans vos politiques de Connectivité et Sécurité du client. Cette version inclut également le support pour la sensibilisation de l'Utilisateur, les mises à jour automatiques gérées par Cato et SSO sans navigateur.

Prérequis

  • Consultez les prérequis (surtout le système d'exploitation minimum de l'appareil) listés dans Préparer l'installation du Client Cato.

  • Pour SSO et fonctionnalités basées sur GUI :

    • Toutes les versions de bureau Linux sont prises en charge (par exemple, Gnome et KDE)
    • Définir un navigateur par défaut pour l'appareil (généralement le réglage par défaut est pour GNOME)
    • Le SSO sans interface est pris en charge uniquement pour Azure. Pour plus d'informations sur la configuration du SSO Azure, consultez Configuration du SSO Azure pour votre compte
  • Les scripts d'installation et d'exécution sont lancés depuis le CLI et nécessitent l'ouverture d'une application terminale

Limitations Connues

  • La ré-authentification automatique n'est pas prise en charge. Les utilisateurs finaux doivent se ré-authentifier auprès de l'IdP dans le navigateur.

Installation du Client Linux

Télécharger le fichier Client et l'exécuter sur votre appareil Linux.

Pour installer le client sur un appareil Linux :

  1. Depuis le portail de téléchargement du Client, sélectionnez l'onglet Linux et téléchargez le Client.

    Les types de fichiers suivants sont disponibles :

    • .rpm (Red Hat Package Manager)
    • Debian (.deb)

  2. Exécution du fichier Client :

    • Pour le fichier .rpm, entrez la commande suivante dans le terminal : sudo rpm -i cato-client-install.rpm
    • Pour le fichier Debian, entrez la commande suivante dans le terminal : sudo dpkg -i cato-linux-install.deb

Exécution du Client Linux

Pour connecter le Client au Cato Cloud sur un appareil basé sur navigateur, exécutez la commande : cato-sdp start

Pour connecter le Client au Cato Cloud sur un appareil sans tête (sans navigateur), exécutez la commande : cato-sdp start --account <nom du compte> --user <adresse e-mail de l'utilisateur SDP>

Remarque

Remarque : Le nom du compte est le sous-domaine du compte. Pour trouver le sous-domaine, naviguez vers Accès > Authentification Unique.

Authentification par navigateur

Sur appareil avec un navigateur, après avoir exécuté la commande de démarrage, un navigateur s'ouvre. Vous pouvez utiliser le navigateur pour vous authentifier sur Cato en utilisant la méthode d'authentification configurée pour votre compte.

SSO sans tête (Authentification Sans Navigateur)

Pour vous authentifier avec SSO sur des appareils sans navigateur, vous pouvez utiliser un appareil différent qui dispose d'un navigateur pour s'authentifier au nom de l'appareil sans tête.

Vue d'ensemble du SSO sans tête

Vous pouvez utiliser le SSO sans tête pour authentifier les utilisateurs SDP dans des environnements sans navigateur, par exemple un outil en ligne de commande ou une imprimante, sans nécessiter de navigateur. Avec le SSO sans tête, vous pouvez utiliser un appareil différent, qui dispose d'un navigateur, pour s'authentifier au nom de l'appareil sans navigateur. Après s'être authentifié avec succès via le navigateur, l'appareil sans navigateur se connecte au Cato Cloud.

La réauthentification silencieuse n'est pas possible avec le SSO sans tête. Après l'expiration du token, les utilisateurs des SDP doivent se réauthentifier.

Authentification avec SSO sans tête

Le SSO sans tête vous permet de vous authentifier sur des appareils sans navigateur.

Pour authentifier sur un appareil sans interface :

  1. Sur l'appareil sans tête, exécutez la commande : cato-sdp start --account <nom du compte>.

    Un code unique et une URL sont retournés.

    Remarque :

    - Le nom du compte est le sous-domaine du compte. Pour trouver le sous-domaine, naviguez vers Accès > Authentification Unique.

    - Pour une authentification sans SSO, ajoutez le paramètre --no-sso

    - Le paramètre --headless n'est pas requis dans la version 5.1.0.21 et supérieur

  2. Sur un appareil disposant d'un navigateur, accédez à l'URL et entrez le code unique.

  3. Connectez-vous avec vos informations d'identification SSO.

    L'appareil sans tête est connecté au Cato Cloud.

Actions pour le Client Linux OS

Voici les actions que vous pouvez utiliser dans le Client Linux. Placez chaque paramètre en utilisant cato-sdp.

Paramètre Description
démarrer Le client se connecte au Cloud Cato
arrêter Le client se déconnecte du Cloud Cato
aide Affiche la liste des arguments disponibles
statut Affiche le statut de connectivité
version Affiche la version du client
Support Contacter le support technique
Mettre à jour Mettre à jour le client vers la dernière version
import-cert Importer le certificat de l'appareil

Arguments pour le Client Linux OS

Voici les arguments optionnels que vous pouvez utiliser pour différentes fonctionnalités et paramètres lorsque vous exécutez le Client. Chaque paramètre doit être précédé par cato-sdp start.

Paramètre Description
--address<Adresse IP du PoP> Le client se connecte à un PoP Cato spécifique (contacter le support pour l'adresse IP spécifique). Le comportement par défaut est que le client se connecte automatiquement au meilleur PoP disponible dans le Cloud Cato.
--append {head|tail}

Conserve la configuration existante dans /etc/resolv.conf.

Lorsqu'il est connecté, le client remplace /etc/resolv.conf par la configuration DNS reçue de Cato. Utiliser ce paramètre ajoute la configuration Cato à la configuration existante.

  • head - ajoute la configuration DNS de Cato avant la configuration existante, en donnant la préférence à la configuration Cato.
  • tail - ajoute la configuration DNS de Cato après la configuration existante, en donnant la préférence à la configuration existante. Dans les deux cas, /etc/resolv.conf est restauré à son contenu d'origine lors de la déconnexion.

Si le Tunnel fractionné est activé dans l'Application de gestion Cato, ce paramètre est ignoré et le Client remplace toujours le contenu de /etc/resolv.conf.
--cato-sdp support Téléchargez les journaux du Client ou envoyez-les directement à l'équipe de support technique.

--floglevel

--gloglevel

Définit les paramètres de journalisation des fichiers (floglevel) ou globaux (gloglevel) pour le Client :

  • 0 - détaillé
  • 1 - débogage
  • 2 - informations
  • 3 - avertissement
  • 4 - erreur
  • 5 - aucun

--headless

--no-sso

Le client s'exécute en mode sans interface.

no-sso invite l'utilisateur SDP à entrer un mot de passe. Utilisez cet argument sur un appareil sans interface dans des comptes sans authentification SSO configurée.
--help Affiche l'écran d'aide.
--metric _metric_

La route créée pour le trafic VPN (voir --route).

Si non spécifié, cette route a la plus haute priorité sur le système (identique à spécifier --metric 0).
--port Change le port DTLS (443 ou 1337), le port 443 est le paramètre par défaut.
--reconn _seconds_

Suite à une déconnexion, le nombre de secondes que le client attend avant de tenter de se reconnecter. Le client tente de se reconnecter à cet intervalle jusqu'à ce qu'une connexion soit établie ou que le client soit arrêté de manière externe.

Si ce paramètre n'est pas spécifié, le client tente de se reconnecter une seule fois et, en cas d'échec, se déconnecte immédiatement.
--reg_code Utilise un code d'enregistrement pour s'authentifier au Client.
--route

Un seul sous-réseau qui est routé vers le tunnel au lieu de la route par défaut. Par exemple : --route 10.24.0.0/16 crée une route spécifique afin que seul ce sous-réseau soit routé via le VPN.

Si non spécifié, le client ajoute une route par défaut afin que tout le trafic soit dirigé via le VPN sur l'appareil (identique à spécifier --route 0.0.0.0/0).
--user, --account, --password, --reset-password, --reset-cred

Identifiants utilisateur Cato. Ces valeurs sont optionnelles pour les utilisateurs qui s'authentifient avec le navigateur Web.

mot de passe est optionnel. Lorsqu'un mot de passe est requis, l'utilisateur est invité à en ajouter un nouveau.

reset-cred réinitialise tous les identifiants utilisateur et supprime le jeton d'authentification (pris en charge sur v5.0 et supérieur).

Remarque

Note : Nous ne recommandons pas d'utiliser l'argument --password.
--use-systemd-resolv

Utilise systemd-resolv (au lieu de modifier /dev/resolv.conf directement). Les valeurs pour ce paramètre sont :

  • 1 - vrai
  • 0 - faux (valeur par défaut)

Lorsque vous utilisez le paramètre --use-systemd-resolv avec le Client, n'utilisez PAS le paramètre append.
--version Affiche des informations sur la version du client.
--pin Entrez un code MFA

Arguments pour les Paramètres de Fichier Client

Vous pouvez enregistrer les arguments pour le Client Linux dans un fichier, puis charger les Paramètres lors du démarrage du Client. Ce sont les arguments pour le fichier Client :

Paramètre Description
--load_file_

Utilise les valeurs de paramètre stockées dans le fichier précédemment avec --save.

Vous pouvez annuler tout paramètre stocké en le spécifiant sur la ligne de commande.

Puisque les identifiants sont également stockés dans ce fichier, assurez-vous de le garder privé car quiconque peut utiliser ce fichier pour se connecter avec les identifiants sauvegardés.

Alternativement, vous pouvez stocker un mot de passe vide ou incorrect dans le fichier et spécifier le correct sur la ligne de commande. Par exemple : --load_file_ --password '******'
--save_file_ Enregistre Tous les arguments passés sur la ligne de commande dans le Fichier donné pour une utilisation avec le paramètre --load.
--show_file_ Afficher les paramètres enregistrés dans le Fichier avec --save.

Arguments pour l'Authentification des Appareils avec Certificats

Cette section contient des arguments utilisés pour les Clients Linux qui utilisent l'Authentification de l'Appareil avec un certificat d'Appareil. Pour plus d'informations, consultez Distribution et installation des certificats de périphériques.

Paramètre Description
--cert <chemin du certificat>

Chemin vers le Fichier de certificat pour l'Authentification de l'appareil. Le chemin par défaut est :

/opt/cato/client_cert/device_cert.p12

Désinstallation du Client

Si vous n'avez plus besoin du Client sur un Appareil, vous pouvez le désinstaller. Une fois que le Client est désinstallé, il n'y a aucun moyen d'appliquer les règles de réseau ou les politiques de sécurité à l'Appareil.

Pour désinstaller le Client :

  1. Dans le terminal, exécutez la commande pour le type de Fichier qui a été installé :

    • .rpm sudo rpm -e cato-client-install
    • .deb sudo dpkg -r cato-linux-install

  2. (Optionnel) Après que le processus de désinstallation est complet, supprimez les Fichiers de configuration restants dans ces Emplacements

    • sudo rm -rf /opt/cato
    • sudo rm -rf /usr/lib/cato/
    • sudo rm -rf /var/log/cato*.log
    • sudo rm -rf ~/.cato/
  3. Redémarrez votre Appareil.

Si vous avez apporté des modifications à votre configuration réseau système lors de l'installation du Client Cato, vous devrez peut-être revenir sur ces modifications manuellement.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 10

0 commentaire