В этой статье объясняется, как установить и запустить Cato Клиент Linux версии 5.1.
Начиная с версии 5.1, Клиент Linux поддерживает проверки состояния устройства, которые могут быть включены в ваши политики подключения и безопасности клиента. Эта версия также включает поддержку осведомленности пользователя и автоматические обновления, управляемые Cato и SSO без браузера.
- Ознакомьтесь с предварительными условиями (особенно с минимальной версией операционной системы устройства), перечисленными в Подготовка к установке Клиента Cato.
-
Для функций, основанных на SSO и графическом интерфейсе:
- Все настольные версии Linux поддерживаются (например, Gnome и KDE)
- Определите браузер по умолчанию для устройства (обычно настройка по умолчанию для GNOME)
- Режим SSO без графического интерфейса поддерживается только для Azure. Для получения дополнительной информации о настройке Azure SSO смотрите Настройка Azure SSO для вашей учетной записи
- Скрипты установки и выполнения запускаются из CLI, и требуют открытия терминального приложения.
Скачайте файл клиента и запустите его на своем устройстве Linux.
Чтобы установить Клиент на устройство Linux:
-
На портале загрузки Клиента, выберите вкладку Linux и скачайте Клиент.
Доступны следующие типы файлов:
- .rpm (Red Hat Package Manager)
- Debian (.deb)
-
Запустите файл клиента:
- Для файла .rpm введите следующую команду в терминале: sudo rpm -i cato-client-install.rpm
- Для файла Debian введите следующую команду в терминале: sudo dpkg -i cato-linux-install.deb
Чтобы подключить клиента к облаку Cato на устройстве, использующем браузер, выполните команду: cato-sdp start
Чтобы подключить клиента к облаку Cato на устройстве без браузера (в автономном режиме), выполните команду: cato-sdp start --account <account name> --user <SDP user's email address>
Примечание
Примечание: Название аккаунта — это субдомен аккаунта. Чтобы найти субдомен, перейдите в Доступ > Единый вход.
На устройстве с браузером, после выполнения команды запуска, откроется браузер. Вы можете использовать браузер для аутентификации в Cato, используя метод аутентификации, настроенный для вашего аккаунта.
Чтобы аутентифицироваться с SSO на устройствах без браузера, вы можете использовать другое устройство с браузером для аутентификации от имени безголового устройства.
С помощью безголового SSO вы можете аутентифицировать пользователей SDP в небраузерных средах, например, в командной строке или на принтере, без необходимости использовать браузер. С помощью безголового SSO вы можете использовать другое устройство с браузером для аутентификации от имени небраузерного устройства. После успешной аутентификации через браузер небраузерное устройство подключается к облаку Cato.
Тихая повторная аутентификация невозможна с помощью безголового SSO. После истечения срока действия токена пользователи SDP должны провести повторную аутентификацию.
Безголовый SSO позволяет вам аутентифицироваться на устройствах без браузера.
Для аутентификации на устройстве без графического интерфейса:
-
На устройстве без браузера выполните команду: cato-sdp start --account <account name>.
Выдается уникальный код и URL.
Примечание:
- Название аккаунта — это субдомен аккаунта. Чтобы найти Поддомен, перейдите в Доступ > Единый вход.
- Для аутентификации без SSO добавьте параметр --no-sso
- Параметр --headless не требуется в версии 5.1.0.21 и выше
- На устройстве, имеющем браузер, получите доступ к URL и введите уникальный код.
-
Войдите с учетными данными SSO.
Устройство без браузера подключено к облаку Cato.
Это действия, которые вы можете использовать в клиенте Linux. Каждый параметр должен предваряться cato-sdp.
| Параметр | Описание |
|---|---|
| начать | Клиент подключается к облаку Cato |
| остановить | Клиент отключается от облака Cato |
| помощь | Отображает список доступных аргументов |
| статус | Отображает статус подключения |
| версия | Отображает версию клиента |
| Поддержка | Связаться с технической поддержкой |
| Обновить | Обновить клиента до последней версии |
| import-cert | Импортировать сертификат устройства |
Это необязательные аргументы, которые вы можете использовать для различных функций и настроек при выполнении клиента. Каждый параметр должен быть предварен cato-sdp start.
| Параметр | Описание |
|---|---|
| --address<PoP IP address> | Клиент подключается к определенному Cato PoP (свяжитесь с поддержкой для получения конкретного IP-адреса). Поведение по умолчанию заключается в том, что клиент автоматически подключается к лучшему PoP в облаке Cato. |
| --append {head|tail} |
Сохраняет существующую конфигурацию в /etc/resolv.conf. Когда подключено, Клиент заменяет /etc/resolv.conf на DNS конфигурацию полученную от Cato. Использование этого параметра добавляет конфигурацию Cato к существующей конфигурации.
Если Раздельный Туннель включен в Приложении Управления Cato, этот параметр игнорируется и Клиент всегда заменяет содержимое /etc/resolv.conf. |
| --cato-sdp поддержка | Скачать журналы клиента или отправить их напрямую команде технической поддержки. |
|
--floglevel --gloglevel |
Устанавливает настройки ведения журнала файла (floglevel) или глобальной (gloglevel) для Клиента:
|
|
--без голова --без sso |
Клиент работает в режиме без графического интерфейса. без sso запрашивает пароль у пользователя SDP. Используйте этот аргумент на устройстве без графического интерфейса в учетных записях без настроенной аутентификации SSO. |
| --помощь | Отображает экран помощи. |
| --метрика _метрика_ |
Маршрут, созданный для VPN трафика (см. --маршрут). Если не указано, этот маршрут имеет самый высокий приоритет в системе (что идентично указанию --метрика 0). |
| --порт | Изменяет DTLS порт (443 или 1337), порт 443 является настройкой по умолчанию. |
| --reconn _секунд_ |
После отключения количество секунд, которые клиент ждет перед попыткой переподключения. Клиент пытается переподключиться с этим интервалом, пока соединение не будет установлено или клиент будет остановлен извне. Если этот параметр не указан, клиент пытается переподключиться один раз и если безуспешно, выходит сразу. |
| --reg_code | Использует регистрационный код для аутентификации к клиенту. |
| --маршрут |
Одиночная подсеть, которая маршрутизируется в туннель вместо маршрута по умолчанию. Например: --маршрут 10.24.0.0/16 создает специфичный маршрут так, что только эта подсеть маршрутизируется через VPN. Если не указано, клиент добавляет маршрут по умолчанию так, чтобы весь трафик маршрутизировался через VPN на устройстве (что идентично указанию --маршрут 0.0.0.0/0). |
| --пользователь, --аккаунт, --пароль, --сбросить-пароль, --сбросить-удостоверения |
Учетные данные пользователя Cato. Эти значения являются опциональными для пользователей, которые аутентифицируются в веб-браузере. пароль является опциональным. Когда требуется пароль, пользователю предлагается добавить новый. сбросить-удостоверения сбрасывают все учетные данные пользователя и удаляют токен аутентификации (поддерживается на v5.0 и выше). ПримечаниеПримечание: Мы не рекомендуем использовать аргумент --пароль. |
| --use-systemd-resolv |
Использует systemd-resolv (вместо редактирования /dev/resolv.conf напрямую). Значения для этого параметра:
При использовании параметра --use-systemd-resolv с Клиентом, НЕ используйте параметр append. |
| --версия | Отображает информацию о версии клиента. |
| --pin | Введите код MFA |
Вы можете сохранить аргументы для Клиента Linux в файл, а затем загрузить параметры при запуске Клиента. Это аргументы для файла Клиента:
| Параметр | Описание |
|---|---|
| --load_file_ |
Использует значения параметров, хранящиеся в файле ранее с помощью --сохранить. Вы можете переписать любую сохраненную настройку, указав её в командной строке. Поскольку учетные данные также хранятся в этом файле, убедитесь, что вы храните его закрытым, так как любой может использовать этот файл для подключения с сохраненными учетными данными. Также, вы можете хранить пустой или неправильный пароль в файле и указать правильный на командной строке. Например: --load _file_ --password '******' |
| --save_file_ | Сохраняет все аргументы, переданные в командной строке, в указанный файл для использования с параметром --load. |
| --show_file_ | Отображение настроек, сохраненных в файле, с помощью --save. |
Этот раздел содержит аргументы, используемые для Клиентов Linux, которые используют Аутентификацию устройства с сертификатом устройства. Для получения дополнительной информации смотрите Распределение и установка сертификатов устройств.
| Параметр | Описание |
|---|---|
| --cert <certificate path> |
Путь к файлу сертификата для аутентификации устройства. Путь по умолчанию:
|
Если вам больше не нужен Клиент на устройстве, вы можете удалить его. После удаления Клиента невозможно применять сетевые правила или политики безопасности к устройству.
Для удаления клиента:
-
В терминале выполните команду для типа файла, который был установлен:
- .rpm
sudo rpm -e cato-client-install - .deb
sudo dpkg -r cato-linux-install
- .rpm
-
(Опционально) После завершения процесса удаления удалите оставшиеся файлы конфигурации в этих местах
- sudo rm -rf /opt/cato
- sudo rm -rf /usr/lib/cato/
- sudo rm -rf /var/log/cato*.log
- sudo rm -rf ~/.cato/
- Перезагрузите ваше устройство.
Если вы внесли изменения в конфигурацию вашей сетевой системы во время установки клиента Cato, вам, возможно, потребуется вручную отменить эти изменения.
0 комментариев
Статья закрыта для комментариев.