Installation et exécution du Client Linux (v5.1 et supérieur)

Cet article explique comment installer et exécuter le Client Linux Cato v5.1.

Aperçu du Client Linux v5.1

À partir de la version 5.1, le client Linux prend en charge les vérifications de la posture de l'appareil pouvant être incluses dans vos politiques de connectivité et de sécurité client. Cette version inclut également la prise en charge de la Sensibilisation de l'Utilisateur, des mises à niveau Automatiques gérées par Cato et du SSO sans navigateur.

Prérequis

  • Versions de l'OS Linux prises en charge pour 64 bits (X86_64):

    • Ubuntu v18 et supérieur

    • CentOS v8 et supérieur

    • Fedora v36 et supérieur

    • Debian v11 et supérieur

    • Mint v20.3 et supérieur

  • Pour les fonctionnalités SSO et basées sur l'interface graphique:

    • Toutes les versions de bureau Linux sont prises en charge (par exemple, Gnome et KDE)

    • Définir un navigateur par défaut pour le dispositif (généralement le paramètre par défaut est pour GNOME)

    • Le SSO sans interface graphique est pris en charge uniquement pour Azure. Pour plus d'informations sur la configuration de l'authentification unique Azure, voir Configurer le SSO Azure pour votre Compte

  • Les scripts d'installation et d'exécution sont exécutés à partir de l'interface CLI, nécessitant l'ouverture d'une application terminale

Limitations Connues

  • L'authentification automatique n'est pas prise en charge. Les utilisateurs finaux doivent se réauthentifier auprès de l'IdP dans le navigateur.

Installation du Client Linux

Téléchargez le fichier Client et exécutez-le sur votre dispositif Linux.

Pour installer le Client sur un dispositif Linux:

  1. Depuis le portail de téléchargement Client, sélectionnez l'onglet Linux et téléchargez le Client.

    Les types de fichier suivants sont disponibles:

    • .rpm (Red Hat Package Manager)

    • Debian (.deb)

  2. Exécuter le fichier Client:

    • Pour le fichier .rpm, entrez la commande suivante dans le terminal : sudo rpm -i cato-client-install.rpm

    • Pour le fichier Debian, entrez la commande suivante dans le terminal : sudo dpkg -i cato-client-install.deb

En cours du Client Linux

Pour connecter le Client au Cato Cloud sur un dispositif basé sur navigateur, exécutez la commande : cato-sdp start

Pour connecter le client au Cato Cloud sur un dispositif (sans navigateur), exécutez la commande: cato-sdp start --account <nom du compte> --user <adresse email de l'utilisateur SDP>

Note

Note : Le nom du compte est le sous-domaine du compte. Pour trouver le sous-domaine, accédez à Access > Single Sign-On.

Authentification par navigateur externe

Sur un appareil avec un navigateur, après avoir exécuté la commande de démarrage, un navigateur s'ouvre. Vous pouvez utiliser le navigateur pour vous authentifier sur Cato en utilisant la méthode d'authentification configurée pour votre compte.

SSO sans interface (Authentification sans navigateur)

Pour s'authentifier avec SSO sur des appareils sans navigateur, vous pouvez utiliser un autre appareil avec un navigateur pour s'authentifier pour l'appareil sans navigateur.

Aperçu du SSO sans interface

Vous pouvez utiliser SSO sans navigateur pour authentifier les SDP utilisateurs dans des environnements non-navigateur, par exemple un outil en ligne de commande ou une imprimante, sans nécessiter de navigateur. Avec SSO sans navigateur, vous pouvez utiliser un appareil différent, qui a un navigateur, pour s'authentifier au nom de l'appareil sans navigateur. Après une authentification réussie via un navigateur, l'appareil sans navigateur se connecte au Cato Cloud.

La ré-authentification silencieuse n'est pas possible avec SSO sans navigateur. Après l'expiration du jeton, les utilisateurs de SDP doivent se ré-authentifier.

Authentification avec SSO sans interface

SSO sans navigateur vous permet de vous authentifier sur des appareils sans navigateur.

Pour s'authentifier sur un appareil sans navigateur :

  1. Sur l'appareil sans navigateur, exécutez la commande : cato-sdp start --account <nom du compte>.

    Un code unique et une URL sont retournés.

    Note :

    - Le nom du compte est le sous-domaine du compte. Pour trouver le sous-domaine, accédez à Access &gt; Single Sign-On.

    - Pour une authentification sans SSO, ajoutez le paramètre --no-sso

    - Le paramètre --headless n'est pas requis à partir de la version 5.1.0.21 et supérieure

  2. Sur un appareil qui a un navigateur, accédez à l'URL et entrez le code unique.

  3. Connectez-vous avec vos informations d’identification SSO.

    L'appareil sans navigateur est connecté au Cato Cloud.

Actions pour le Client Linux OS

Voici les actions que vous pouvez utiliser dans le Client Linux. Précédez chaque paramètre de cato-sdp.

Paramètre

Description

start

Le client se connecte au Cato Cloud

stop

Le Client se déconnecte du Cato Cloud

help

Affiche la liste des arguments disponibles

status

Affiche le statut de la connectivité

version

Affiche la version du Client

Support

Contactez le support technique

Update

Mettez à jour le Client vers la dernière version

import-cert

Importer le certificat de l'appareil

Arguments pour le Client Linux OS

These are the optional arguments that you can use for different features and settings when you run the Client. Each parameter should be preceded by cato-sdp start.

Parameter

Description

--address<PoP IP address>

The Client connects to a specific Cato PoP (contact Support for the specific IP address). The default behavior is that the client automatically connects to the best PoP in the Cato Cloud.

--append {head|tail}

Préserve la configuration existante dans /etc/resolv.conf.

Lorsqu'il est connecté, le Client remplace /etc/resolv.conf par la configuration DNS reçue de Cato. L'utilisation de ce paramètre ajoute la configuration de Cato à la configuration existante.

  • tête - ajoute la configuration DNS de Cato avant la configuration existante, donnant la préférence à la configuration de Cato.

  • queue - ajoute la configuration DNS de Cato après la configuration existante, donnant la préférence à la configuration existante. Dans les deux cas, /etc/resolv.conf est restauré à son contenu original lors de la déconnexion.

Si le Split Tunnel est activé dans l'application de gestion Cato, ce paramètre est ignoré et le Client remplace toujours le contenu de /etc/resolv.conf.

--support cato-sdp

Télécharger les journaux du Client ou les envoyer directement à l'équipe de support technique.

--floglevel

--gloglevel

Définit les paramètres de journalisation de fichier (floglevel) ou globale (gloglevel) pour le Client:

  • 0 - verbeux

  • 1 - débogage

  • 2 - infos

  • 3 - avertissement

  • 4 - erreur

  • 5 - aucun

--headless

--no-sso

Le Client s'exécute en mode sans tête.

no-sso demande à l'utilisateur SDP un mot de passe. Utilisez cet argument sur un appareil sans affichage dans des comptes sans authentification SSO configurée.

--aide

Affiche l'écran d'aide.

--métrique _métrique_

La route créée pour le trafic VPN (voir --route).

Si non spécifié, cette route a la priorité la plus élevée sur le système (identique à spécifier --metric 0).

--port

Change le port DTLS (443 ou 1337), le port 443 est le paramètre par défaut.

--reconn _secondes_

Après une déconnexion, le nombre de secondes que le Client attend avant de tenter de se reconnecter. Le Client tente de se reconnecter à cet intervalle jusqu'à ce qu'une connexion soit établie ou que le client soit arrêté de manière externe.

Si ce paramètre n'est pas spécifié, le client tente de se reconnecter une fois et, en cas d'échec, sort immédiatement.

--reg_code

Utilise un code d'enregistrement pour s'authentifier au Client.

--route

Un seul sous-réseau est routé vers le tunnel au lieu de la route par défaut. Par exemple : --route 10.24.0.0/16 crée une route spécifique de sorte que seul ce sous-réseau soit acheminé via le VPN.

Si non spécifié, le Client ajoute une route par défaut pour que tout le trafic soit acheminé via le VPN sur l'appareil (identique à spécifier --route 0.0.0.0/0).

--utilisateur, --compte, --mot de passe, --réinitialiser-mot de passe, --réinitialiser-cred

Identifiants utilisateur Cato. Ces valeurs sont facultatives pour les utilisateurs qui s'authentifient avec le navigateur Web.

password est facultatif. Lorsqu'un mot de passe est requis, l'utilisateur est invité à en ajouter un nouveau.

reset-cred réinitialise tous les identifiants utilisateur et supprime le jeton d'authentification (pris en charge sur v5.0 et supérieur).

Note

Note: Nous ne recommandons pas d'utiliser l'argument --password.

--use-systemd-resolv

Utilise systemd-resolv (au lieu de modifier directement /dev/resolv.conf). Les valeurs pour ce paramètre sont :

  • 1 - vrai

  • 0 - false (valeur par défaut)

Lorsque vous utilisez le paramètre --use-systemd-resolv avec le Client, n'utilisez PAS le paramètre append.

--version

Affiche des informations sur la version du Client.

--pin

Entrez un code MFA

Arguments pour les paramètres de fichier Client

Vous pouvez enregistrer les arguments pour le Client Linux dans un fichier, puis charger les paramètres lors du démarrage du Client. Voici les arguments pour le fichier Client :

Paramètre

Description

--load_file_

Utilise les valeurs des paramètres stockées précédemment dans le fichier avec --save.

Vous pouvez remplacer n'importe quel paramètre stocké en le spécifiant dans la ligne de commande.

Puisque les identifiants sont également stockés dans ce fichier, assurez-vous de le garder privé car n'importe qui peut utiliser ce fichier pour se connecter avec les identifiants sauvegardés.

Alternativement, vous pouvez stocker un mot de passe vide ou incorrect dans le fichier et spécifier le bon sur la ligne de commande. Par exemple : --load_file_ --password '******'

--save_file_

Enregistre tous les arguments passés sur la ligne de commande dans le fichier donné pour une utilisation avec le paramètre --load.

--show_file_

Affiche les paramètres stockés dans le fichier en utilisant --save.

Arguments pour l'authentification de l'appareil avec des certificats

Cette section contient les arguments utilisés pour les Clients Linux utilisant l'authentification de l'appareil avec un certificat de périphérique. Pour plus d'informations, voir Distribution et installation des certificats de périphérique.

Paramètre

Description

--cert <chemin du certificat>

Chemin vers le fichier de certificat pour l'authentification de l'appareil. Le chemin par défaut est :

/opt/cato/client_cert/device_cert.p12

Désinstallation du Client

Si vous n'avez plus besoin du Client sur un appareil, vous pouvez le désinstaller. Une fois que le Client est désinstallé, il n'y a aucun moyen d'appliquer des règles réseau ou des politiques de sécurité à l'appareil.

Pour désinstaller le Client :

  1. Dans le terminal, exécutez la commande pour le type de fichier qui a été installé :

    • .rpm sudo rpm -e cato-client-install

    • .deb sudo dpkg -r cato-client-install

  2. (Optionnel) Après la complétion du processus de désinstallation, supprimez les fichiers de configuration restants dans ces emplacements

    • sudo rm -rf /opt/cato

    • sudo rm -rf /usr/lib/cato/

    • sudo rm -rf /var/log/cato*.log

    • sudo rm -rf ~/.cato/

  3. Redémarrez votre appareil.

Si vous avez effectué des modifications à votre configuration réseau système pendant l'installation du Client Cato, il se peut que vous deviez annuler ces modifications manuellement.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 10

0 commentaire