Linuxクライアントのインストールと実行（v5.1およびそれ以降）

この記事は、Cato Linuxクライアントv5.1のインストールと実行方法を説明しています。

Linux v5.1クライアントの概要

バージョン5.1から、Linuxクライアントは、クライアント接続性とセキュリティポリシーに含めることができるデバイスポスチャーチェックをサポートしています。このバージョンには、Catoによって管理される自動アップグレードやブラウザ不要のSSO、ならびにユーザーアウェアネスのサポートも含まれています。

前提条件

64ビット（X86_64）対応Linux OS バージョン：
- Ubuntu v18以上
- CentOS v8以上
- Fedora v36以上
- Debian v11以上
- Mint v20.3以上
SSOおよびGUIベースの機能について：
- すべてのLinuxデスクトップバージョンがサポートされています（例：GnomeとKDE）
- デフォルトブラウザをデバイスに設定する（一般的にデフォルト設定はGNOME用）
- ヘッドレスSSOはAzureのみサポートされています。 Azure SSO の設定方法について詳しくは、アカウントのAzure SSO設定を参照してください
インストールおよび実行スクリプトはCLIから実行され、ターミナルアプリを開く必要があります。

既知の制限事項

自動再認証はサポートされていません。エンドユーザーはブラウザでIdPに再認証する必要があります。

Linuxクライアントのインストール

クライアントファイルをダウンロードし、Linuxデバイスで実行します。

Linuxデバイスにクライアントをインストールするには：

クライアントダウンロードポータルから、Linuxタブを選択し、クライアントをダウンロードします。

次のファイルタイプが利用可能です：
- .rpm (Red Hat パッケージマネージャー)
- Debian (.deb)
クライアントファイルを実行：
- .rpmファイルの場合、ターミナルで次のコマンドを入力します：sudo rpm -i cato-client-install.rpm
- Debianファイルの場合、ターミナルで次のコマンドを入力します：sudo dpkg -i cato-client-install.deb

Linuxクライアントの実行中

ブラウザベースのデバイスでクライアントをCato クラウドに接続するには、次のコマンドを実行します：cato-sdp start

ヘッドレス（ブラウザなし）デバイスでクライアントをCato クラウドに接続するには、次のコマンドを実行します： cato-sdp start --account <アカウント名> --user <SDPユーザのメールアドレス>

注意

注意: アカウント名はアカウントサブドメインです。サブドメインを見つけるには、アクセス > シングルサインオン に移動します。

ブラウザ認証

ブラウザを備えたデバイスでは、開始コマンドを実行した後にブラウザが開きます。ブラウザを使用して、アカウントに設定された認証方法を使用してCatoに認証できます。

ヘッドレスSSO（ブラウザなしの認証）

ブラウザのないデバイスでSSOを使用して認証するには、別のデバイスを使用して、ヘッドレスデバイスの代わりに認証できます。

ヘッドレスSSOの概要

ヘッドレスSSOを使用すると、コマンドラインツールやプリンターなどのブラウザを必要としない環境でSDPユーザーを認証できます。ヘッドレスSSOを使用すると、ブラウザを備えた別のデバイスを使用して、非ブラウザデバイスの代わりに認証できます。ブラウザを通じて正常に認証された後、非ブラウザデバイスはCatoクラウドに接続します。

ヘッドレスSSOではサイレントな再認証はできません。トークンが期限切れになると、SDPユーザーは再認証が必要です。

ヘッドレスSSOによる認証

ヘッドレスデバイスではブラウザなしで認証できます。

ヘッドレスデバイスで認証するには:

ヘッドレスデバイスで以下のコマンドを実行します: cato-sdp start --account <アカウント名>。

一意のコードとURLが返されます。

注意:

- アカウント名はアカウントサブドメインです。サブドメインを見つけるには、アクセス > シングルサインオンに移動します。

- SSOなしで認証するには、パラメーター --no-sso を追加してください。

- バージョン5.1.0.21以上では--headlessパラメーターは不要です。
ブラウザを備えたデバイスで、URLにアクセスして一意のコードを入力します。
SSOの資格情報でサインインします。

ヘッドレスデバイスはCatoクラウドに接続されています。

Linux OSクライアントのアクション

これらはLinuxクライアントで使用できるアクションです。各パラメーターの前にcato-sdpを付けてください。

パラメーター	説明
開始	クライアントがCatoクラウドに接続します
停止	クライアントがCatoクラウドから接続を切断します
ヘルプ	利用可能な引数のリストを表示します
ステータス	接続状況を表示します
バージョン	クライアントバージョンを表示します
サポート	技術サポートに連絡してください
更新	クライアントを最新バージョンに更新します
import-cert	デバイス証明書をインポート

Linux OSクライアントの引数

これらはクライアントを実行する際に異なる機能や設定に使用できるオプションの引数です。各パラメータの前に cato-sdp start を付ける必要があります。

パラメーター	説明
--address<PoP IPアドレス>	クライアントは特定のCato PoPに接続します（特定のIPアドレスについてはサポートに連絡してください）。デフォルトの動作は、クライアントがCato クラウド内の最適なPoPに自動的に接続することです。
--append {head\|tail}	既存の設定を保持します /etc/resolv.conf。接続時、クライアントは /etc/resolv.conf をCatoから受信したDNS設定に置き換えます。このパラメータを使用すると、Catoの設定が既存の設定に追加されます。 head - CatoからのDNS設定を既存の設定の前に追加し、Catoの設定を優先します。 tail - CatoからのDNS設定を既存の設定の後に追加し、既存の設定を優先します。いずれの場合も、/etc/resolv.confは切断時に元の内容に復元されます。 Cato管理画面でスプリットトンネルが有効化されている場合、このパラメータは無視され、クライアントは常に/etc/resolv.confの内容を置き換えます。
--cato-sdp サポート	クライアントログをダウンロードするか、サポートチームに直接送信してください。
--floglevel --gloglevel	クライアントのファイル (floglevel) またはグローバル (gloglevel) ロギング設定を設定します： 0 - 詳細 1 - デバッグ 2 - 情報 3 - 警告 4 - エラー 5 - 無し
--headless --no-sso	クライアントはヘッドレスモードで実行されます。 no-sso はSDPユーザーにパスワードを求めます。この引数をSSO認証が構成されていないアカウントのヘッドレスデバイスで使用します。
--help	ヘルプ画面を表示します。
--metric _metric_	VPNトラフィックのために作成されたルート（--routeを参照）。指定がない場合、このルートはシステム上で最も高い優先度を持ちます（--metric 0を指定するのと同じです）。
--port	DTLSポートを変更します（443または1337）。ポート443がデフォルト設定です。
--reconn _秒_	接続が切断された後、クライアントが再接続を試みる前に待つ秒数。クライアントは、この間隔で接続が確立されるまで再接続を試行し続けます。またはクライアントが外部から停止されます。このパラメータが指定されていない場合、クライアントは一度再接続を試みて、失敗した場合は直ちに終了します。
--reg_code	登録コードを使用してクライアントに認証します。
--route	デフォルトルートの代わりにトンネルにルーティングされる単一のサブネット。例: --route 10.24.0.0/16 は特定のルートを作成し、このサブネットのみがVPNを通じてルーティングされます。指定しない場合、クライアントはデフォルトルートを追加し、すべてのトラフィックはデバイス上でVPNを通じてルーテッドされます (--route 0.0.0.0/0を指定するのと同じです)。
--user, --account, --password, --reset-password, --reset-cred	Catoユーザーの認証情報。これらの値はウェブブラウザで認証するユーザーにはオプションです。パスワードはオプションです。パスワードが必要な場合は、新しいパスワードを追加するようにユーザーに促されます。 reset-cred はすべてのユーザー認証情報をリセットし、認証トークンを削除します (v5.0以上でサポートされています)。注意注意： --password 引数の使用は推奨されません。
--use-systemd-resolv	systemd-resolv を使用します (/dev/resolv.confを直接編集する代わりに)。このパラメータの値は次のとおりです： 1 - 真 0 - false (デフォルト値) クライアントで--use-systemd-resolvパラメータを使用する場合、appendパラメータは使用しないでください。
--version	クライアントバージョンに関する情報を表示します。
--pin	MFA コードを入力してください。

クライアントファイルパラメータの引数

Linuxクライアントの引数をファイルに保存し、クライアントを起動するときにパラメータをロードできます。クライアントファイルの引数は次のとおりです：

パラメータ	説明
--load_file_	--saveで以前にファイルに保存されたパラメータ値を使用します。コマンドラインで指定することで、保存された設定を上書きできます。このファイルには認証情報も保存されているため、ファイルは非公開にしておいてください。誰でもこのファイルを使って保存された認証情報で接続できます。対策として、ファイルに空のパスワードまたは間違ったパスワードを保存し、コマンドラインで正しいパスワードを指定することができます。例: --load _file_ --password '**'
--save_file_	コマンドラインに渡されたすべての引数を指定されたファイルに保存し、--loadパラメータで使用するために保存します。
--show_file_	--saveを使用してファイルに保存された設定を表示します。

パラメータ

説明

--load_file_

--saveで以前にファイルに保存されたパラメータ値を使用します。

コマンドラインで指定することで、保存された設定を上書きできます。

このファイルには認証情報も保存されているため、ファイルは非公開にしておいてください。誰でもこのファイルを使って保存された認証情報で接続できます。

対策として、ファイルに空のパスワードまたは間違ったパスワードを保存し、コマンドラインで正しいパスワードを指定することができます。例: --load _file_ --password '******'

--save_file_

コマンドラインに渡されたすべての引数を指定されたファイルに保存し、--loadパラメータで使用するために保存します。

--show_file_

--saveを使用してファイルに保存された設定を表示します。

デバイス認証を証明書で行うためのデバイスの引数

このセクションには、デバイス証明書を使ったデバイス認証を使用するLinuxクライアントで使われる引数が含まれています。詳細については、デバイス証明書の配布とインストールを参照してください。

パラメータ	説明
--cert <証明書のパス>	デバイス認証のための証明書ファイルのパス。デフォルトのパスは: `/opt/cato/client_cert/device_cert.p12`

パラメータ

説明

--cert <証明書のパス>

デバイス認証のための証明書ファイルのパス。デフォルトのパスは:

/opt/cato/client_cert/device_cert.p12

クライアントのアンインストール

デバイスにクライアントが不要になった場合は、アンインストールできます。クライアントがアンインストールされると、ネットワークルールやセキュリティポリシーをデバイスに適用する方法はありません。

クライアントをアンインストールするために:

ターミナルで、インストールされたファイルタイプのコマンドを実行します。
- .rpm sudo rpm -e cato-client-install
- .deb sudo dpkg -r cato-client-install
(オプション) アンインストールプロセスが完了した後、これらのロケーションにある残りの設定ファイルを削除します。
- sudo rm -rf /opt/cato
- sudo rm -rf /usr/lib/cato/
- sudo rm -rf /var/log/cato*.ログ
- sudo rm -rf ~/.cato/
デバイスを再起動します。

Catoクライアントのインストール中にシステムのネットワーク設定を変更した場合は、その変更を手動で元に戻す必要があるかもしれません。