Linuxクライアントで始める

この記事では、Cato Linuxクライアントv5.1のインストールと実行方法について説明します。

概要

バージョン5.1から、Linuxクライアントはデバイスポスチャチェックをサポートしており、クライアント接続およびセキュリティポリシーに含めることができます。 このバージョンには、ユーザー認識、自動アップグレード(Catoによって管理される)、ブラウザなしでのSSOのサポートも含まれています。

前提条件

  • Catoクライアントのインストール準備にリストされている前提条件(特に最小デバイスOS)を確認してください。

  • SSOおよびGUIベースの機能について:

    • すべてのLinuxデスクトップバージョンがサポートされています(例: GnomeおよびKDE)
    • デバイスのデフォルトブラウザを定義します(通常、デフォルト設定はGNOME用です)
    • ヘッドレスSSOはAzureのみサポートされています。 Azure SSOの設定方法の詳細については、アカウントのAzure SSOの設定を参照してください。
  • インストールおよび実行スクリプトはCLIから実行され、端末アプリを開く必要があります

既知の制限

  • 自動再認証はサポートされていません。 エンドユーザーはブラウザでIdPに再認証する必要があります。

Linuxクライアントのインストール

クライアントファイルをダウンロードしてLinuxデバイスで実行します。

Linuxデバイスにクライアントをインストールするには:

  1. クライアントダウンロードポータルから、Linuxタブを選択してクライアントをダウンロードします。

    利用可能なファイルタイプは以下の通りです:

    • .rpm(Red Hat Package Manager)
    • Debian(.deb)

  2. クライアントファイルを実行:

    • rpmファイルの場合、端末に次のコマンドを入力します: sudo rpm -i cato-client-install.rpm
    • Debianファイルの場合、端末に次のコマンドを入力します: sudo dpkg -i cato-linux-install.deb

Linuxクライアントの実行

ブラウザベースのデバイスでクライアントをCato Cloudに接続するには、次のコマンドを実行してください: cato-sdp start

ブラウザのないヘッドレスデバイスでクライアントをCato Cloudに接続するには、次のコマンドを実行してください: cato-sdp start --account <account name> --user <SDP user's email address>

注意

注意: アカウント名はアカウントのサブドメインです。 サブドメインを見つけるには、Access > Single Sign-Onに移動してください。

ブラウザ認証

ブラウザ付きデバイスでは、開始コマンド実行後にブラウザが開きます。 ブラウザを使用して、アカウントに設定された認証方法を使用してCatoに認証できます。

ヘッドレスSSO(ブラウザなしの認証)

ブラウザのないデバイスでSSOで認証するには、ブラウザ付きの別のデバイスを使用してヘッドレスデバイスを代わりに認証することができます。

ヘッドレスSSOの概要

ヘッドレスSSOを使用して、SDPユーザーをコマンドラインツールやプリンターなどの非ブラウザ環境で認証できます。 ヘッドレスSSOを使用すると、ブラウザ付きの別のデバイスで、非ブラウザデバイスを代わりに認証することができます。 ブラウザでの認証が成功すると、非ブラウザデバイスがCato Cloudに接続されます。

ヘッドレスSSOでは、静かに再認証することは不可能です。 トークンが期限切れになると、SDPユーザーは再認証が必要です。

ヘッドレスSSOによる認証

ヘッドレスSSOを使用すると、ブラウザのないデバイスで認証できます。

ヘッドレスデバイスで認証するには:

  1. ヘッドレスデバイスで、次のコマンドを実行してください: cato-sdp start --account <account name>.

    一意のコードとURLが返されます。

    注意:

    - アカウント名はアカウントのサブドメインです。 サブドメインを見つけるには、アクセス > シングルサインオンに移動します。

    - SSOなしで認証するには、パラメータ --no-sso を追加します

    - パラメータ --headless はバージョン5.1.0.21以上では不要です

  2. ブラウザを持つデバイスで、URLにアクセスして一意のコードを入力します。

  3. SSOの資格情報でサインインします。

    ヘッドレスデバイスがCato Cloudに接続されています。

Linux OSクライアントのアクション

これはLinuxクライアントで使用できるアクションです。 各パラメータの前にcato-sdpを付けます。

Parameter 説明
開始 クライアントがCatoクラウドに接続します
stop クライアントがCatoクラウドから切断されます
ヘルプ 利用可能な引数のリストを表示します
ステータス 接続状況を表示します
バージョン クライアントバージョンを表示します
サポート 技術サポートに連絡する
更新 クライアントを最新バージョンに更新する
import-cert デバイス証明書をインポートする

Linux OSクライアントの引数

これらはクライアントを実行する際に使用できる、異なる機能や設定のためのオプション引数です。 各パラメータの前にはcato-sdp startを付ける必要があります。

Parameter 説明
--住所<PoP IPアドレス> クライアントが特定のCato PoPに接続します(特定のIPアドレスについてはサポートにお問い合わせください)。 デフォルトの動作は、クライアントがCatoクラウドで最適なPoPに自動的に接続することです。
--append {head|tail}

/etc/resolv.confに既存の設定が保持されます。

接続時、クライアントはCatoから受信したDNS設定で/etc/resolv.confを置き換えます。 このパラメータを使用することで、既存の設定にCatoの設定を追加します。

  • head - 既存の設定の前にCatoからのDNS設定を追加し、Catoの設定に優先順位を与えます。
  • tail - 既存の設定の後にCatoからのDNS設定を追加し、既存の設定に優先順位を与えます。どちらの場合も、/etc/resolv.confは切断時に元の内容に復元されます。

Cato管理アプリケーションでスプリットトンネルが有効になっている場合、このパラメーターは無視され、クライアントは常に/etc/resolv.confの内容を置き換えます。
--cato-sdpサポート クライアントログをダウンロードするか、技術サポートチームに直接送信します。

--floglevel

--gloglevel

クライアントのファイル(floglevel)またはグローバル(gloglevel)ログ設定を設定します:

  • 0 - 詳細
  • 1 - デバッグ
  • 2 - 情報
  • 3 - 警告
  • 4 - エラー
  • 5 - なし

--headless

--no-sso

クライアントがヘッドレスモードで実行されます。

no-sso はSDPユーザーにパスワードを求めます。 SSO認証が設定されていないアカウントのヘッドレスデバイスでこの引数を使用します。
--help ヘルプ画面を表示します。
--metric _metric_

VPNトラフィックに対して作成されたルート(--routeを参照)。

指定されていない場合、このルートはシステム上で最も高い優先度を持ちます(--metric 0を指定するのと同じです)。
--port DTLSポートを変更します(443または1337)、ポート443はデフォルト設定です。
--reconn _seconds_

切断後、クライアントが再接続を試みるまでの秒数。 クライアントは、この間隔で再接続を試み、接続が確立されるかクライアントが外部で停止されるまで試行します。

このパラメータが指定されていない場合、クライアントは一度再接続を試み、失敗した場合はすぐに終了します。
--reg_code 登録コードを使用してクライアントに認証します。
--route

A single subnet that is routed to the tunnel instead of the default route. 例: --route 10.24.0.0/16は特定のルートを作成し、このサブネットのみがVPNを通じてルートされるようにします。

指定されていない場合、クライアントはデフォルトルートを追加し、すべてのトラフィックがデバイス上のVPNを通じてルートされます(--route 0.0.0.0/0を指定するのと同じです)。
--user, --account, --password, --reset-password, --reset-cred

Catoユーザー資格情報。 これらの値は、Webブラウザで認証するユーザーにはオプションです。

パスワードはオプションです。 パスワードが必要な場合、ユーザーは新しいものを追加するように促されます。

reset-credはすべてのユーザー資格情報をリセットし、認証トークンを削除します(v5.0以上でサポートされています)。

注意

注: --password引数の使用はお勧めしません。
--use-systemd-resolv

systemd-resolvを使用します(/dev/resolv.conf を直接編集する代わりに)。 このパラメータの値は次の通りです:

  • 1 - 真
  • 0 - 偽 (デフォルト値)

--use-systemd-resolvパラメータをクライアントで使用する場合、appendパラメータの使用はできません。
--version クライアントバージョンに関する情報を表示します。
--pin MFAコードを入力します

クライアントファイルパラメーターの引数

Linuxクライアントの引数をファイルに保存し、クライアントを開始するときにパラメーターをロードできます。 これらはクライアントファイルの引数です:

Parameter 説明
--load_file_

--saveを使用して以前にファイルに保存されたパラメータ値を使用します。

コマンドラインで指定することで、保存された設定を上書きできます。

資格情報がこのファイルにも保存されているため、これを非公開にしておくようにしてください。任意の誰かがこのファイルを使用して保存された資格情報で接続できる可能性があります。

あるいは、空のまたは不正確なパスワードをファイルに保存し、コマンドラインで正しいものを指定することができます。 例: --load _file_ --password '******'
--save_file_ コマンドラインで渡されたすべての引数を指定されたファイルに保存し、--load パラメータで使用します。
--show_file_ --save を使用してファイルに保存された設定を表示します。

証明書によるデバイス認証の引数

このセクションは、デバイス証明書を使用したデバイス認証に使用されるLinuxクライアントの引数を含んでいます。 さらに詳しくは、デバイス証明書の配布とインストールを参照してください。

Parameter 説明
--cert <certificate path>

デバイス認証用の証明書ファイルへのパス。 デフォルトパスは:

/opt/cato/client_cert/device_cert.p12

クライアントのアンインストール

デバイス上のクライアントが不要になった場合はアンインストールできます。 クライアントがアンインストールされると、ネットワークルールやセキュリティポリシーをデバイスに適用する方法はありません。

クライアントをアンインストールするには:

  1. ターミナルで、インストールされたファイルタイプに対するコマンドを実行します:

    • .rpm sudo rpm -e cato-client-install
    • .deb sudo dpkg -r cato-linux-install

  2. (オプション) アンインストールプロセスが完了した後、次の場所で残りの設定ファイルを削除します

    • sudo rm -rf /opt/cato
    • sudo rm -rf /usr/lib/cato/
    • sudo rm -rf /var/log/cato*.log
    • sudo rm -rf ~/.cato/
  3. デバイスを再起動してください。

Catoクライアントのインストール中にシステムネットワーク設定に変更を加えた場合は、それらの変更を手動で元に戻す必要があるかもしれません。

この記事は役に立ちましたか?

10人中2人がこの記事が役に立ったと言っています

0件のコメント