Este artigo explica como instalar e executar o Cliente Linux Cato v5.1.
A partir da versão 5.1, o Cliente Linux suporta verificações de Postura do Dispositivo que podem ser incluídas em suas políticas de Segurança e Conectividade do Cliente. Esta versão também inclui suporte para conscientização do usuário, atualizações automáticas que são gerenciadas pela Cato e SSO sem um navegador.
- Revise os requisitos prévios (especialmente o sistema operacional mínimo do dispositivo) listados em Preparando para Instalar o Cliente Cato.
-
Para recursos baseados em GUI e SSO:
- Todas as versões de desktop Linux são suportadas (ex. Gnome e KDE)
- Defina um navegador padrão para o dispositivo (geralmente a configuração padrão é para GNOME)
- SSO sem cabeça é suportado apenas para Azure. Para mais informações sobre como configurar o SSO do Azure, veja Configuração do Azure SSO para sua Conta
- Os scripts de instalação e execução são executados a partir do CLI, e requerem que você abra um aplicativo de terminal
Baixe o arquivo do Cliente e execute-o no seu dispositivo Linux.
Para instalar o Cliente em um dispositivo Linux:
-
No portal de download do Cliente, selecione a aba Linux e baixe o Cliente.
Os seguintes tipos de arquivo estão disponíveis:
- .rpm (Gerenciador de Pacotes Red Hat)
- Debian (.deb)
-
Execute o arquivo do Cliente:
- Para o arquivo .rpm, insira o seguinte comando no terminal: sudo rpm -i cato-client-install.rpm
- Para o arquivo Debian, insira o seguinte comando no terminal: sudo dpkg -i cato-linux-install.deb
Para conectar o Cliente à Cato Cloud em um dispositivo baseado em navegador, execute o comando: cato-sdp start
Para conectar o Cliente à Cato Cloud em um dispositivo headless (sem navegador), execute o comando: cato-sdp start --account <account name> --user <email do usuário SDP>
Nota
Nota: O nome da conta é o Subdomínio da conta. Para encontrar o Subdomínio, navegue até Acesso > Single Sign-On.
Em dispositivo com navegador, após executar o comando de início, um navegador é aberto. Você pode usar o navegador para autenticar na Cato usando o método de autenticação configurado para sua conta.
Para autenticar com SSO em dispositivos sem navegador, você pode usar um dispositivo diferente que tenha navegador para autenticar em nome do dispositivo sem navegador.
Você pode usar SSO sem cabeçalho para autenticar usuários SDP em ambientes sem navegador, por exemplo, uma ferramenta de linha de comando ou uma impressora, sem exigir um navegador. Com SSO sem cabeçalho, você pode usar um dispositivo diferente, que tenha navegador, para autenticar em nome do dispositivo sem navegador. Após autenticar com sucesso pelo navegador, o dispositivo sem navegador se conecta à Cato Cloud.
Reautenticação silenciosa não é possível com SSO sem cabeçalho. Após o token expirar, os usuários de SDPs precisarão se reautenticar.
SSO sem cabeçalho permite autenticar em dispositivos sem navegador.
Para autenticar em um dispositivo sem cabeça:
-
No dispositivo sem cabeçalho, execute o comando: cato-sdp start --account <account name>.
Um código único e URL são retornados.
Nota:
- O nome da conta é o Subdomínio da conta. Para encontrar o Subdomínio, navegue até Acesso > Single Sign-On.
- Para autenticação sem SSO, adicione o parâmetro --no-sso
- O parâmetro --headless não é necessário na versão 5.1.0.21 e superior
- Em um dispositivo que possui um navegador, acesse a URL e insira o código único.
-
Faça login com suas credenciais SSO.
O dispositivo sem cabeçalho está conectado à Cato Cloud.
Estas são as ações que você pode usar no Cliente Linux. Cada parâmetro deve ser precedido por cato-sdp.
| Parâmetro | Descrição |
|---|---|
| iniciar | O Cliente conecta-se à Nuvem Cato |
| parar | O Cliente desconecta-se da Nuvem Cato |
| ajuda | Mostra a lista de argumentos disponíveis |
| status | Mostra o status de conectividade |
| versão | Mostra a versão do Cliente |
| Suporte | Contatar Suporte Técnico |
| Atualizar | Atualize o Cliente para a versão mais recente |
| importar-certificado | Importar certificado de dispositivo |
Estes são os argumentos opcionais que você pode usar para diferentes recursos e configurações ao executar o Cliente. Cada parâmetro deve ser precedido por cato-sdp start.
| Parâmetro | Descrição |
|---|---|
| --endereço<Endereço IP do PoP> | O Cliente conecta-se a um PoP Cato específico (contate o Suporte para o endereço IP específico). O comportamento padrão é que o cliente se conecta automaticamente ao melhor PoP na Nuvem Cato. |
| --adicionar {cabeça|cauda} |
Preserva a configuração existente em /etc/resolv.conf. Quando conectado, o Cliente substitui /etc/resolv.conf pela configuração DNS recebida da Cato. Usar este parâmetro adiciona a configuração da Cato à configuração existente.
Se o Túnel Dividido estiver ativado no Aplicativo de Gerenciamento Cato, este parâmetro é ignorado e o Cliente sempre substitui o conteúdo de /etc/resolv.conf. |
| --cato-sdp suporte | Baixe logs do Cliente ou envie diretamente para a equipe de Suporte Técnico. |
|
--floglevel --gloglevel |
Define as configurações de log do arquivo (floglevel) ou globais (gloglevel) para o Cliente:
|
|
--sem cabeça --sem sso |
O Cliente é executado no modo sem cabeça. sem sso solicita ao usuário SDP uma senha. Use este argumento em um dispositivo sem cabeça em contas sem autenticação SSO configurada. |
| --ajuda | Mostra a tela de ajuda. |
| --métrica _métrica_ |
A rota criada para o tráfego VPN (veja --rota). Se não especificado, esta rota tem a prioridade mais alta no sistema (idêntico a especificar --métrica 0). |
| --porta | Altera a porta DTLS (443 ou 1337), porta 443 é a configuração padrão. |
| --reconn _segundos_ |
Após uma desconexão, o número de segundos que o Cliente aguarda antes de tentar reconectar. O Cliente tenta reconectar neste intervalo até uma conexão ser estabelecida ou o cliente ser interrompido externamente. Se este parâmetro não for especificado, o cliente tenta reconectar uma vez e, se falhar, sai imediatamente. |
| --reg_code | Usa um código de registro para autenticar ao Cliente. |
| --rota |
Uma única sub-rede que é direcionada para o túnel em vez da rota padrão. Por exemplo: --rota 10.24.0.0/16 cria uma rota específica para que apenas esta sub-rede seja roteada através do VPN. Se não especificado, o Cliente adiciona uma rota padrão para que todo o tráfego seja roteado através do VPN no dispositivo (idêntico a especificar --rota 0.0.0.0/0). |
| --usuário, --conta, --senha, --redefinir-senha, --redefinir-cred |
Credenciais de usuário Cato. Esses valores são opcionais para usuários que se autenticam com o navegador da web. senha é opcional. Quando uma senha é exigida, o usuário é solicitado a adicionar uma nova. redefinir-cred redefine todas as credenciais de usuário e remove o token de autenticação (suportado na v5.0 e superior). NotaNota: Nós não recomendamos usar o argumento --senha. |
| --usar-systemd-resolv |
Usa systemd-resolv (em vez de editar /dev/resolv.conf diretamente. Os valores para este parâmetro são:
Ao usar o parâmetro --usar-systemd-resolv com o Cliente, NÃO use o parâmetro adicionar. |
| --versão | Mostra informações sobre a versão do Cliente. |
| --pin | Digite um código MFA |
Você pode salvar os argumentos para o Cliente Linux em um arquivo, e então carregar os parâmetros quando iniciar o Cliente. Estes são os argumentos para o arquivo do Cliente:
| Parâmetro | Descrição |
|---|---|
| --carregar_arquivo_ |
Usa os valores de parâmetro armazenados no arquivo previamente com --salvar. Você pode substituir qualquer configuração armazenada especificando-a na linha de comando. Como as credenciais também são armazenadas neste arquivo, certifique-se de mantê-lo privado, pois qualquer um pode usar este arquivo para conectar-se com as credenciais salvas. Alternadamente, você pode armazenar uma senha vazia ou incorreta no arquivo e especificar a correta na linha de comando. Por exemplo: --carregar _arquivo_ --senha '******' |
| --salvar_arquivo_ | Salva todos os argumentos passados na linha de comando para o arquivo dado para uso com o parâmetro --load. |
| --show_file_ | Exibe as configurações armazenadas no arquivo usando --save. |
Esta seção contém argumentos que são usados para os Clientes Linux que utilizam Autenticação de Dispositivo com um Certificado de Dispositivo. Para mais informações, veja Distribuindo e Instalando Certificados de Dispositivo.
| Parâmetro | Descrição |
|---|---|
| --cert <certificate path> |
Caminho para o arquivo de certificado para Autenticação de Dispositivo. O caminho padrão é:
|
Se você não precisa mais do Cliente em um dispositivo, pode desinstalá-lo. Uma vez que o Cliente é desinstalado, não há como aplicar regras de rede ou políticas de segurança ao dispositivo.
Para desinstalar o Cliente:
-
No terminal, execute o comando para o tipo de arquivo que foi instalado:
- .rpm
sudo rpm -e cato-client-install - .deb
sudo dpkg -r cato-linux-install
- .rpm
-
(Opcional) Após o processo de desinstalação estar completo, remova os arquivos de configuração restantes nesses locais
- sudo rm -rf /opt/cato
- sudo rm -rf /usr/lib/cato/
- sudo rm -rf /var/log/cato*.log
- sudo rm -rf ~/.cato/
- Reinicie seu dispositivo.
Se você fez alterações na configuração de rede do sistema durante a instalação do cliente Cato, pode ser necessário reverter essas mudanças manualmente.
0 comentário
Artigo fechado para comentários.