리눅스 클라이언트 설치 및 실행 (v5.1 이상)

이 문서는 Cato Linux 클라이언트 v5.1의 설치 및 실행 방법을 설명합니다.

Linux v5.1 클라이언트 개요

버전 5.1부터 Linux 클라이언트는 클라이언트 연결성과 보안 정책에 포함될 수 있는 장치 자세 검사를 지원합니다. 이 버전은 또한 사용자 인식, Cato에서 관리하는 자동 업그레이드 및 브라우저 없이 SSO 지원을 포함합니다.

필수 조건

64비트(X86_64)용 지원되는 Linux OS 버전:
- 우분투 v18 이상
- CentOS v8 이상
- 페도라 v36 이상
- 데비안 v11 이상
- 민트 v20.3 이상
SSO 및 GUI 기반 기능을 위해:
- 모든 리눅스 데스크탑 버전이 지원됩니다 (예: Gnome 및 KDE)
- 장치에 대한 기본 브라우저를 정의하십시오 (일반적으로 기본 설정은 GNOME용)
- 헤드리스 SSO는 Azure 전용으로 지원됩니다. Azure SSO를 구성하는 방법에 대한 자세한 내용은 계정에 대한 Azure SSO 구성을 참조하세요
설치 및 실행 스크립트는 CLI에서 실행되며, 터미널 앱을 열어야 합니다

알려진 서비스 제한

자동 재인증은 지원되지 않습니다. 최종 사용자들은 브라우저에서 IdP에 재인증해야 합니다.

Linux 클라이언트 설치

클라이언트 파일을 다운로드하고 리눅스 장치에서 실행하십시오.

리눅스 장치에 클라이언트를 설치하려면:

클라이언트 다운로드 포털에서 리눅스 탭을 선택하고 클라이언트를 다운로드하십시오.

다음 파일 유형이 가능합니다:
- .rpm (Red Hat 패키지 관리자)
- 데비안(.deb)
클라이언트 파일 실행:
- .rpm 파일의 경우, 터미널에서 다음 명령을 입력하십시오: sudo rpm -i cato-client-install.rpm
- 데비안 파일의 경우, 터미널에서 다음 명령을 입력하십시오: sudo dpkg -i cato-client-install.deb

Linux 클라이언트 실행 중

브라우저 기반 장치에서 클라이언트를 Cato 클라우드에 연결하려면 다음 명령을 실행하십시오: cato-sdp start

헤드리스 (브라우저 없는) 장치에서 클라이언트를 Cato 클라우드에 연결하려면 다음 명령을 실행하십시오: cato-sdp start --account <계정 이름> --user <SDP 사용자 이메일 주소>

참고

참고: 계정 이름은 계정 서브도메인입니다. 서브도메인을 찾으려면 Access > Single Sign-On으로 이동하십시오.

외부 브라우저 인증

브라우저가 있는 장치에서 시작 명령을 실행한 후 브라우저가 열립니다. 계정에 구성된 인증 방법을 사용하여 Cato에 인증하기 위해 브라우저를 사용할 수 있습니다.

헤드리스 SSO (브라우저 없이 인증)

브라우저가 없는 장치에서 SSO로 인증하려면 브라우저가 있는 다른 장치를 사용하여 헤드리스 장치를 대신하여 인증할 수 있습니다.

헤드리스 SSO 개요

브라우저가 필요 없는 환경, 예를 들어 명령줄 도구나 프린터에서 브라우저 없이 에스디피 사용자를 인증할 수 있습니다. 헤드리스 SSO를 사용하여 브라우저가 있는 다른 장치를 사용하여 비브라우저 장치를 대신하여 인증할 수 있습니다. 브라우저를 통해 성공적으로 인증한 후 비브라우저 장치는 Cato Cloud에 연결됩니다.

헤드리스 SSO를 사용하여 조용한 재인증은 불가능합니다. 토큰이 만료된 후, 에스디피 사용자는 다시 인증해야 합니다.

헤드리스 SSO로 인증하기

헤드리스 SSO를 통해 브라우저가 없는 장치에서 인증할 수 있습니다.

헤드리스 장치에서 인증하려면:

헤드리스 장치에서 명령을 실행하십시오: cato-sdp start --account <계정 이름>.

고유한 코드와 URL이 반환됩니다.

참고:

- 계정 이름은 계정 서브도메인입니다. 서브도메인을 찾으려면 Access > Single Sign-On으로 이동하십시오.

- SSO 없이 인증하려면 매개 변수 --no-sso를 추가하십시오.

- 버전 5.1.0.21 이상에서는 --headless 매개 변수가 필요하지 않습니다.
브라우저가 있는 장치에서 URL에 액세스하고 고유 코드를 입력하십시오.
SSO 자격 증명으로 로그인하십시오.

헤드리스 장치가 Cato Cloud에 연결됩니다.

Linux OS 클라이언트 작업

Linux 클라이언트에서 사용할 수 있는 작업입니다. 각 매개 변수 앞에 cato-sdp를 붙이세요.

매개 변수	설명
시작	클라이언트가 Cato Cloud에 연결됩니다.
중지	클라이언트가 Cato Cloud에서 연결이 끊어집니다.
도움말	사용 가능한 인수 목록을 표시합니다.
상태	연결 상태를 표시합니다
버전	클라이언트 버전을 표시합니다
지원	기술 지원에 문의하십시오
업데이트	클라이언트를 최신 버전으로 업데이트하십시오
import-cert	디바이스 인증서를 가져옵니다

Linux OS 클라이언트 인수

이것들은 클라이언트를 실행할 때 다른 기능 및 설정에 사용할 수 있는 선택적 인수입니다. 각 매개변수 앞에 cato-sdp start를 추가해야 합니다.

매개변수	설명
--address<PoP IP 주소>	클라이언트는 특정 Cato PoP에 연결됩니다 (특정 IP 주소에 대해 지원 센터에 문의하십시오). 기본 동작은 클라이언트가 Cato 클라우드 내에서 최적의 PoP에 자동으로 연결된다는 것입니다.
--append {head\|tail}	기존 설정을 /etc/resolv.conf에 보존합니다. 연결되면 클라이언트는 /etc/resolv.conf를 Cato에서 수신한 DNS 구성으로 대체합니다. 이 매개변수를 사용하면 기존 설정에 Cato 구성이 추가됩니다. head - 기존 설정 전에 Cato의 DNS 구성을 추가하여 Cato 구성을 우선시합니다. tail - 기존 설정 후에 Cato의 DNS 구성을 추가하여 기존 설정을 우선시합니다. 두 경우 모두 /etc/resolv.conf는 연결이 끊어지면 원래 내용으로 복원됩니다. Cato 관리 응용 프로그램에서 스플릿 터널이 활성화된 경우 이 매개변수는 무시되며 클라이언트는 항상 /etc/resolv.conf의 내용을 대체합니다.
--cato-sdp 지원	클라이언트 로그를 다운로드하거나 기술 지원 팀에 직접 전송하십시오.
--floglevel --gloglevel	클라이언트에 대한 파일(floglevel) 또는 글로벌(gloglevel) 로깅 설정을 설정합니다: 0 - 자세한 내용 1 - 디버그 2 - 정보 3 - 경고 4 - 오류 5 - 없음
--headless --no-sso	클라이언트는 헤드리스 모드로 실행됩니다. no-sso는 SDP 사용자에게 암호를 묻습니다. SSO 인증이 구성되지 않은 계정에서 헤드리스 장치에 이 인수를 사용하십시오.
--도움말	도움말 화면을 표시합니다.
--메트릭 _메트릭_	VPN 트래픽을 위해 생성된 경로(--route 참조). 명시되지 않은 경우, 이 경로는 시스템에서 가장 높은 우선순위를 가집니다 (이는 --metric 0을 지정하는 것과 동일합니다).
--port	DTLS 포트를 변경합니다 (443 또는 1337), 포트 443이 기본 설정입니다.
--reconn _seconds_	연결이 끊어진 후, 클라이언트가 다시 연결을 시도하기 전에 기다리는 초 수입니다. 클라이언트는 연결이 수립되거나 외부에서 중지될 때까지 이 간격으로 다시 연결을 시도합니다. 이 매개변수가 명시되지 않은 경우, 클라이언트는 한 번 다시 연결을 시도하고 실패하면 즉시 종료합니다.
--reg_code	등록 코드를 사용하여 클라이언트를 인증합니다.
--route	기본 경로 대신 터널로 라우팅되는 단일 서브넷입니다. 예를 들어: --route 10.24.0.0/16은 특정 경로를 생성하여 이 서브넷만 VPN을 통해 라우팅됩니다. 명시되지 않은 경우, 클라이언트는 기본 경로를 추가하여 모든 트래픽이 디바이스의 VPN을 통해 라우팅되도록 합니다 (이는 --route 0.0.0.0/0을 지정하는 것과 동일합니다).
--user, --account, --password, --reset-password, --reset-cred	Cato 사용자 크리덴셜입니다. 웹 브라우저로 인증하는 사용자에게는 이 값들이 선택적입니다. 비밀번호는 선택 사항입니다. 비밀번호가 필요한 경우, 사용자는 새로운 비밀번호를 입력하도록 요청받습니다. reset-cred는 모든 사용자 자격 증명을 재설정하고 인증 토큰을 제거합니다 (v5.0 이상에서 지원됨). 참고 참고: 우리는 --password 인수를 사용하는 것을 권장하지 않습니다.
--use-systemd-resolv	systemd-resolv를 사용합니다 (/dev/resolv.conf를 직접 편집하는 대신에). 이 매개변수에 대한 값은 다음과 같습니다: 1 - true 0 - false (기본 값) 클라이언트와 함께 --use-systemd-resolv 매개변수를 사용할 때 append 매개변수를 사용하지 마십시오.
--version	클라이언트 버전에 대한 정보를 표시합니다.
--pin	MFA 코드를 입력하십시오.

클라이언트 파일 매개변수에 대한 인수

Linux 클라이언트의 인수를 파일에 저장한 다음, 클라이언트를 시작할 때 매개변수를 로드할 수 있습니다. 클라이언트 파일에 대한 인수는 다음과 같습니다:

매개변수	설명
--load_file_	--save로 이전에 파일에 저장된 매개변수 값을 사용합니다. 명령줄에서 지정하여 저장된 설정을 재정의할 수 있습니다. 이 파일에 자격 증명이 저장되어 있으므로 누구든지 저장된 자격 증명과 함께 파일을 사용할 수 있으므로 파일을 비공개로 유지하십시오. 또는 파일에 빈 암호나 잘못된 암호를 저장하고, 명령줄에서 올바른 암호를 지정할 수 있습니다. 예: --load _file_ --password '**'
--저장_파일_	명령줄에서 전달된 모든 인수를 주어진 파일에 저장하여 --load 매개변수와 함께 사용합니다.
--보기_파일_	--save를 사용하여 파일에 저장된 설정을 표시합니다.

매개변수

설명

--load_file_

--save로 이전에 파일에 저장된 매개변수 값을 사용합니다.

명령줄에서 지정하여 저장된 설정을 재정의할 수 있습니다.

이 파일에 자격 증명이 저장되어 있으므로 누구든지 저장된 자격 증명과 함께 파일을 사용할 수 있으므로 파일을 비공개로 유지하십시오.

또는 파일에 빈 암호나 잘못된 암호를 저장하고, 명령줄에서 올바른 암호를 지정할 수 있습니다. 예: --load _file_ --password '******'

--저장_파일_

명령줄에서 전달된 모든 인수를 주어진 파일에 저장하여 --load 매개변수와 함께 사용합니다.

--보기_파일_

--save를 사용하여 파일에 저장된 설정을 표시합니다.

디바이스 인증을 증명서와 함께 사용하기 위한 인수

이 섹션에는 디바이스 인증에 디바이스 증명서를 사용하는 Linux 클라이언트를 위한 인수가 포함되어 있습니다. 추가 정보는 디바이스 증명서 배포 및 설치를 참조하세요.

매개변수	설명
--cert <증명서 경로>	디바이스 인증을 위한 증명서 파일의 경로입니다. 기본 경로는: `/opt/cato/client_cert/device_cert.p12`

매개변수

설명

--cert <증명서 경로>

디바이스 인증을 위한 증명서 파일의 경로입니다. 기본 경로는:

/opt/cato/client_cert/device_cert.p12

클라이언트 제거

디바이스에서 더 이상 클라이언트가 필요하지 않으면 제거할 수 있습니다. 클라이언트가 제거되면 네트워크 규칙이나 보안 정책을 디바이스에 적용할 방법이 없습니다.

클라이언트를 제거하려면:

터미널에서 설치된 파일 유형에 대한 명령을 실행합니다:
- .rpm sudo rpm -e cato-client-install
- .deb sudo dpkg -r cato-client-install
(선택 사항) 제거 프로세스가 완료되면, 다음 위치에 남아 있는 설정 파일을 삭제합니다
- sudo rm -rf /opt/cato
- sudo rm -rf /usr/lib/cato/
- sudo rm -rf /var/log/cato*.로그
- sudo rm -rf ~/.cato/
디바이스를 재부팅하세요.

Cato 클라이언트 설치 중에 시스템 네트워크 설정을 변경한 경우 해당 변경 사항을 수동으로 되돌려야 할 수 있습니다.