Este artigo explica como instalar e executar o Cliente Linux Cato v5.1.
A partir da versão 5.1, o cliente Linux suporta verificações de Postura de Dispositivo que podem ser incluídas em suas políticas de Conectividade e Segurança. Esta versão também inclui suporte para consciência do usuário, atualizações automáticas geridas pela Cato e SSO sem navegador.
-
Versões suportadas do sistema operacional Linux para 64 bits (X86_64):
-
Ubuntu v18 e superior
-
CentOS v8 e superior
-
Fedora v36 e superior
-
Debian v11 e superior
-
Mint v20.3 e superior
-
-
Para SSO e recursos baseados em GUI:
-
Todas as versões de desktop Linux são suportadas (por exemplo: Gnome e KDE)
-
Defina um navegador padrão para o dispositivo (geralmente a configuração padrão é para GNOME)
-
SSO sem interface é suportado apenas para Azure. Para mais informações sobre como configurar o Azure SSO, consulte Configurar o Azure SSO para Sua Conta
-
-
Os scripts de instalação e execução são executados a partir da CLI, e requerem que você abra um aplicativo de terminal
Baixe o arquivo do Cliente e execute-o no seu dispositivo Linux.
Para instalar o Cliente em um dispositivo Linux:
-
Do portal de download do Cliente, selecione a guia Linux e baixe o Cliente.
Os seguintes tipos de arquivo estão disponíveis:
-
.rpm (Gerenciador de Pacotes Red Hat)
-
Debian (.deb)
-
-
Execute o arquivo do Cliente:
-
Para o arquivo .rpm, insira o seguinte comando no terminal: sudo rpm -i cato-client-install.rpm
-
Para o arquivo Debian, insira o seguinte comando no terminal: sudo dpkg -i cato-client-install.deb
-
Para conectar o Cliente à Cato Cloud em um dispositivo baseado em navegador, execute o comando: cato-sdp start
Para conectar o Client ao Cato Cloud em um dispositivo sem interface gráfica (sem navegador), execute o comando: cato-sdp start --account <nome da conta> --user <email do usuário SDP>
Nota
Nota: O nome da conta é o Subdomínio da conta. Para encontrar o Subdomínio, navegue até Acesso > Single Sign-On.
Em um dispositivo com navegador, após executar o comando de início, um navegador será aberto. Você pode usar o navegador para autenticar-se no Cato usando o método de autenticação configurado para sua conta.
Para autenticar com SSO em dispositivos sem navegador, você pode usar um dispositivo diferente que tenha navegador para autenticar em nome do dispositivo sem navegador.
Você pode usar SSO sem navegador para autenticar usuários SDP em ambientes sem navegador, por exemplo, uma ferramenta de linha de comando ou uma impressora, sem exigir um navegador. Com SSO sem navegador, você pode usar um dispositivo diferente, que tenha um navegador, para autenticar em nome do dispositivo sem navegador. Após autenticar-se com sucesso através do navegador, o dispositivo sem navegador conecta-se ao Cato Cloud.
Reautenticação silenciosa não é possível com SSO sem navegador. Após o token expirar, os usuários SDP precisam se reautenticar.
SSO sem navegador permite que você autentique em dispositivos sem navegador.
Para autenticar em um dispositivo sem navegador:
-
No dispositivo sem navegador, execute o comando: cato-sdp start --account <nome da conta>.
Um código único e URL são retornados.
Nota:
- O nome da conta é o Subdomínio da conta. Para encontrar o Subdomínio, navegue até Acesso > Single Sign-On.
- Para autenticação sem SSO, adicione o parâmetro --no-sso
- O parâmetro --headless não é necessário na versão 5.1.0.21 e superior
-
Em um dispositivo que tenha navegador, acesse o URL e insira o código único.
-
Faça login com suas credenciais SSO.
O dispositivo sem navegador está conectado ao Cato Cloud.
Estas são as ações que você pode usar no Linux Client. Anteceda cada parâmetro com cato-sdp.
|
Parâmetro |
Descrição |
|---|---|
|
start |
O Client conecta-se ao Cato Cloud |
|
stop |
O Client desconecta-se do Cato Cloud |
|
help |
Exibe a lista de argumentos disponíveis |
|
status |
Exibe o status de conectividade |
|
version |
Exibe a versão do Client |
|
Support |
Contato com Suporte Técnico |
|
Update |
Atualize o Client para a versão mais recente |
|
import-cert |
Importar certificado do dispositivo |
Estes são os argumentos opcionais que você pode usar para diferentes recursos e configurações ao executar o Client. Cada parâmetro deve ser precedido por cato-sdp start.
|
Parâmetro |
Descrição |
|---|---|
|
--address<PoP IP address> |
O Client conecta-se a um PoP específico da Cato (contate o Suporte para obter o endereço IP específico). O comportamento padrão é que o client conecta-se automaticamente ao melhor PoP na Cato Cloud. |
|
--append {head|tail} |
Preserva a configuração existente em /etc/resolv.conf. Quando conectado, o Client substitui /etc/resolv.conf pela configuração DNS recebida da Cato. Usar este parâmetro anexa a configuração da Cato à configuração existente.
Se o Tunelamento Dividido estiver habilitado no Cato Management Application, este parâmetro é ignorado e o Client sempre substitui o conteúdo de /etc/resolv.conf. |
|
--cato-sdp suporte |
Baixe os logs do Cliente ou envie-os diretamente para a equipe de Suporte Técnico. |
|
--floglevel --gloglevel |
Define as configurações de registro de arquivo (floglevel) ou global (gloglevel) para o Client:
|
|
--headless --no-sso |
O Client executa em modo sem navegador. no-sso solicita ao usuário SDP uma senha. Use este argumento em um dispositivo sem navegador em contas sem autenticação SSO configurada. |
|
--help |
Mostra a tela de ajuda. |
|
--metric _metric_ |
A rota criada para o tráfego VPN (veja --route). Se não especificado, esta rota tem a maior prioridade no sistema (idêntico a especificar --metric 0). |
|
--port |
Altera a porta DTLS (443 ou 1337), a porta 443 é a configuração padrão. |
|
--reconn _seconds_ |
Após uma desconexão, o número de segundos que o Client espera antes de tentar reconectar. O Client tenta reconectar neste intervalo até que uma conexão seja estabelecida ou o client seja parado externamente. Se este parâmetro não for especificado, o client tenta se reconectar uma vez e, se não for bem-sucedido, sai imediatamente. |
|
--reg_code |
Usa um código de registro para autenticar no client. |
|
--route |
Um único sub-rede que é roteado para o túnel em vez da rota padrão. Por exemplo: --route 10.24.0.0/16 cria uma rota específica para que apenas este sub-rede seja roteado através da VPN. Se não especificado, o client adiciona uma rota padrão para que todo o tráfego seja roteado pela VPN no dispositivo (idêntico a especificar --route 0.0.0.0/0). |
|
--user, --account, --password, --reset-password, --reset-cred |
Credenciais de usuário da Cato. Esses valores são opcionais para usuários que se autentificam usando o navegador da web. password é opcional. Quando uma senha é requerida, o usuário é solicitado a adicionar uma nova. reset-cred redefine todas as credenciais do usuário e remove o token de autenticação (suportado em v5.0 e superior). NotaNota: Nós não recomendamos o uso do argumento --password. |
|
--use-systemd-resolv |
Usa systemd-resolv (em vez de editar /dev/resolv.conf diretamente). Os valores para este parâmetro são:
Ao usar o parâmetro --use-systemd-resolv com o client, NÃO use o parâmetro append. |
|
--version |
Mostra informações sobre a versão do client. |
|
--pin |
Insira um código MFA |
Você pode salvar os argumentos para o client Linux em um arquivo e, em seguida, carregar os parâmetros quando iniciar o client. Estes são os argumentos para o arquivo do client:
|
Parâmetro |
Descrição |
|---|---|
|
--load_file_ |
Usa os valores de parâmetro armazenados no arquivo anteriormente com --save. Você pode substituir qualquer configuração armazenada especificando-a na linha de comando. Como as credenciais também estão armazenadas neste arquivo, certifique-se de mantê-lo privado, pois qualquer pessoa pode usar este arquivo para se conectar com as credenciais salvas. Alternativamente, você pode armazenar uma senha vazia ou incorreta no arquivo e especificar a correta na linha de comando. Por exemplo: --load _file_ --password '******' |
|
--save_file_ |
Salva todos os argumentos passados na linha de comando para o arquivo fornecido para usar com o parâmetro --load. |
|
--show_file_ |
Mostra as configurações armazenadas no arquivo usando --save. |
Esta seção contém argumentos que são usados para os clients Linux que utilizam Autenticação de Dispositivo com um certificado de dispositivo. Para mais informações, consulte Distribuição e Instalação de Certificados de Dispositivo.
|
Parâmetro |
Descrição |
|---|---|
|
--cert <caminho do certificado> |
Caminho para o arquivo do certificado para Autenticação de Dispositivo. O caminho padrão é:
|
Se você não precisa mais do client em um dispositivo, pode desinstalá-lo. Uma vez que o client é desinstalado, não há como aplicar regras de rede ou políticas de segurança ao dispositivo.
Para desinstalar o client:
-
No terminal, execute o comando para o tipo de arquivo que foi instalado:
-
.rpm
sudo rpm -e cato-client-install -
.deb
sudo dpkg -r cato-client-install
-
-
(Opcional) Após o processo de desinstalação ser concluído, remova os arquivos de configuração restantes nestes locais
-
sudo rm -rf /opt/cato
-
sudo rm -rf /usr/lib/cato/
-
sudo rm -rf /var/log/cato*.log
-
sudo rm -rf ~/.cato/
-
-
Reinicie seu dispositivo.
Se você fez alterações na configuração de rede do seu sistema durante a instalação do client Cato, pode ser necessário reverter essas alterações manualmente.
0 comentário
Artigo fechado para comentários.