Установка и запуск клиента Linux (версия 5.1 и выше)

Эта статья объясняет, как установить и запустить клиент Cato Linux версии 5.1.

Обзор Клиент Linux версии 5.1

Начиная с версии 5.1, Linux Client поддерживает проверки положения устройства, которые могут быть включены в ваши политики подключения и безопасности клиента. Эта версия также поддерживает осведомленность пользователя, автоматические обновления, управляемые Cato, и SSO без браузера.

Предварительные условия

Поддерживаемые версии Linux ОС для 64-битной архитектуры (X86_64):
- Ubuntu v18 и выше
- CentOS v8 и выше
- Fedora v36 и выше
- Debian v11 и выше
- Mint версии 20.3 и выше
Для функций на основе SSO и GUI:
- Все версии настольных Linux поддерживаются (например, Gnome и KDE)
- Определите браузер по умолчанию для устройства (обычно настройка по умолчанию для GNOME)
- Headless SSO поддерживается только для Azure. Для получения дополнительной информации о том, как настроить SSO Azure, см. Настройка SSO Azure для Вашего Аккаунт
Скрипты установки и выполнения запускаются из CLI и требуют открытия терминального приложения

Известные Ограничение услуг

Автоматическая повторная аутентификация не поддерживается. Конечные пользователи должны повторно пройти аутентификацию в IdP через браузер.

Установка Клиент Linux

Скачайте файл клиента и запустите его на вашем устройстве Linux.

Чтобы установить клиент на устройстве Linux:

С портала загрузки клиента выберите вкладку Linux и скачайте клиента.

Доступны следующие типы файлов:
- .rpm (Red Hat Package Manager)
- Debian (.deb)
Запустите файл клиента:
- Для .rpm файла введите в терминале следующую команду: sudo rpm -i cato-client-install.rpm
- Для Debian файла введите в терминале следующую команду: sudo dpkg -i cato-client-install.deb

Работает Клиент Linux

Чтобы подключить клиента к облаку Cato на устройстве, работающем через браузер, выполните команду: cato-sdp start

Чтобы подключить Client к Cato Cloud на устройстве (без браузера), выполните команду: cato-sdp start --account <название аккаунта> --user <email пользователя SDP>

Примечание

Примечание: Имя аккаунта — это поддомен аккаунта. Чтобы найти поддомен, перейдите в Access > Single Sign-On.

Аутентификация через внешний браузер

На устройстве с браузером, после выполнения команды запуска откроется браузер. Вы можете использовать браузер для аутентификации в Cato, используя метод аутентификации, настроенный для вашего аккаунта.

Безбраузерная SSO (Аутентификация Без браузера)

Чтобы аутентифицироваться с помощью SSO на устройствах без браузера, вы можете использовать другое устройство с браузером для аутентификации от имени безголового устройства.

Обзор Безбраузерная SSO

Вы можете использовать безголовый SSO для аутентификации пользователей SDP в небраузерных средах, например, командной строке или принтере, без необходимости в браузере. С помощью безголового SSO вы можете использовать другое устройство с браузером для аутентификации от имени небраузерного устройства. После успешной аутентификации через браузер, устройство без браузера подключается к Cato Cloud.

Тихая повторная аутентификация невозможна с безголовым SSO. После истечения срока действия токена пользователи SDP должны пройти повторную аутентификацию.

Аутентификация с Безбраузерная SSO

Безголовый SSO позволяет вам аутентифицироваться на устройствах без браузера.

Для аутентификации на безголовом устройстве:

На безголовом устройстве выполните команду: cato-sdp start --account <account name>.

Возвращаются уникальный код и URL.

Примечание:

- Имя аккаунта — это поддомен аккаунта. Чтобы найти поддомен, перейдите в Access > Single Sign-On.

- Для аутентификации без SSO добавьте параметр --no-sso

- Начиная с версии 5.1.0.21 и выше параметр --headless не требуется
На устройстве с браузером перейдите по URL-адресу и введите уникальный код.
Войдите в систему с помощью ваших учетных данных SSO.

Безголовое устройство подключено к Cato Cloud.

Действия для Клиент Linux ОС

Это действия, которые вы можете использовать в клиенте Linux. Каждому параметру предшествуйте cato-sdp.

Параметр	Описание
старт	Клиент подключается к Cato Cloud
остановка	Клиент отключается от Cato Cloud
помощь	Отображает список доступных аргументов
статус	Отображает статус подключения
версия	Отображает версию Клиента
Поддержка	Свяжитесь с службой технической поддержки
Обновление	Обновите Клиент до последней версии
import-cert	Импорт сертификата устройства

Аргументы для Клиент Linux ОС

Это необязательные аргументы, которые вы можете использовать для различных функций и настроек при запуске Клиента. Каждому параметру должно предшествовать cato-sdp start.

Параметр	Описание
--address<PoP IP адрес>	Клиент подключается к определенному Cato PoP (свяжитесь с Поддержкой для получения конкретного IP-адреса). Поведение по умолчанию: Клиент автоматически подключается к лучшему PoP в Cato Cloud.
--append {head\|tail}	Сохраняет существующую конфигурацию в /etc/resolv.conf. При подключении Клиент заменяет /etc/resolv.conf на полученную от Cato конфигурацию DNS. Использование этого параметра добавляет конфигурацию Cato к существующей конфигурации. head - добавляет конфигурацию DNS от Cato перед существующей конфигурацией, отдавая предпочтение конфигурации Cato. tail - добавляет конфигурацию DNS от Cato после существующей конфигурации, отдавая предпочтение существующей конфигурации. В обоих случаях /etc/resolv.conf восстанавливается до своего первоначального содержимого при отключении. Если в Приложении управления Cato включен Split Tunnel, этот параметр проигнорируется, и Клиент всегда заменяет содержимое /etc/resolv.conf.
--cato-sdp поддержка	Скачать Клиент журналы или отправить их напрямую в Техническая Поддержка.
--floglevel --gloglevel	Устанавливает параметры логирования для файла (floglevel) или глобального уровня (gloglevel) для Клиента: 0 - подробный 1 - отладка 2 - информация 3 - предупреждение 4 - ошибка 5 - без ошибок
--headless --no-sso	Клиент работает в безголовом режиме. no-sso запрашивает у пользователя SDP пароль. Используйте этот аргумент на безголовом устройстве в учетных записях без настроенной аутентификации SSO.
--помощь	Показывает экран справки.
--метрика _metric_	Маршрут, созданный для VPN трафика (см. --route). Если не указано, этот маршрут имеет самый высокий приоритет в системе (аналогичен указанию --metric 0).
--порт	Изменяет порт DTLS (443 или 1337), порт 443 установлен по умолчанию.
--reconn _секунд_	После отключения количество секунд, которые клиент ждет перед повторной попыткой подключения. Клиент пытается снова подключиться через этот интервал, пока соединение не будет установлено или клиент не будет остановлен извне. Если этот параметр не указан, клиент пытается переподключиться один раз и в случае неудачи сразу завершает работу.
--рег_код	Использует регистрационный код для аутентификации к клиенту.
--маршрут	Единичная подсеть, которая направляется в туннель вместо маршрута по умолчанию. Например: --route 10.24.0.0/16 создает специфический маршрут, так что только эта подсеть направляется через VPN. Если не указано, клиент добавляет маршрут по умолчанию, чтобы весь трафик направлялся через VPN на устройстве (аналогично указанию --route 0.0.0.0/0).
--пользователь, --учетная_запись, --пароль, --сбросить-пароль, --сбросить-кред	Данные учетных записей пользователя Cato. Эти значения являются необязательными для пользователей, которые проходят аутентификацию через веб-браузер. password не является обязательным. Когда требуется пароль, пользователю предлагается добавить новый. reset-cred сбрасывает все учетные данные пользователя и удаляет токен аутентификации (поддерживается в версиях v5.0 и выше). Заметка Примечание: Мы не рекомендуем использовать аргумент --password.
--использовать-systemd-resolv	Использует systemd-resolv (вместо редактирования /dev/resolv.conf непосредственно). Значения для этого параметра: 1 - истина 0 - false (значение по умолчанию) При использовании параметра --use-systemd-resolv с Клиентом НЕ используйте параметр append.
--версия	Показывает информацию о версии Клиента.
--pin	Введите код MFA

Аргументы для параметров файла Клиента

Вы можете сохранить аргументы для Linux Клиента в файл, а затем загрузить параметры при запуске Клиента. Это аргументы для файла Клиента:

Параметр	Описание
--load_file_	Использует значения параметров, сохраненные ранее в файле с помощью --save. Вы можете переопределить любые сохраненные настройки, указав их в командной строке. Поскольку учетные данные также хранятся в этом файле, убедитесь, что вы сохраняете его в приватности, так как любой может использовать этот файл для подключения с сохраненными учетными данными. Или вы можете сохранить пустой или неверный пароль в файле и указать правильный в командной строке. Например: --load _file_ --password '**'
--save_file_	Сохраняет все аргументы, переданные на командной строке, в указанный файл для использования с параметром --load.
--show_file_	Показать настройки, сохраненные в файле с помощью --save.

Параметр

Описание

--load_file_

Использует значения параметров, сохраненные ранее в файле с помощью --save.

Вы можете переопределить любые сохраненные настройки, указав их в командной строке.

Поскольку учетные данные также хранятся в этом файле, убедитесь, что вы сохраняете его в приватности, так как любой может использовать этот файл для подключения с сохраненными учетными данными.

Или вы можете сохранить пустой или неверный пароль в файле и указать правильный в командной строке. Например: --load _file_ --password '******'

--save_file_

Сохраняет все аргументы, переданные на командной строке, в указанный файл для использования с параметром --load.

--show_file_

Показать настройки, сохраненные в файле с помощью --save.

Аргументы для аутентификации устройства с сертификатами

Этот раздел содержит аргументы, которые используются для Linux Клиентов, использующих аутентификацию устройства с сертификатом устройства. Для получения дополнительной информации см. Распределение и установка сертификатов устройства.

Параметр	Описание
--cert <пути к сертификату>	Путь к файлу сертификата для аутентификации устройства. Путь по умолчанию: `/opt/cato/client_cert/device_cert.p12`

Параметр

Описание

--cert <пути к сертификату>

Путь к файлу сертификата для аутентификации устройства. Путь по умолчанию:

/opt/cato/client_cert/device_cert.p12

Деинсталляция Клиента

Если Клиент больше не нужен на устройстве, вы можете его деинсталлировать. После деинсталляции Клиента на устройстве невозможно применить сетевые правила или политики безопасности.

Чтобы деинсталлировать Клиент:

В терминале выполните команду для установленного типа файла:
- .rpm sudo rpm -e cato-client-install
- .deb sudo dpkg -r cato-client-install
(Опционально) После завершения процесса удаления, удалите оставшиеся конфигурационные файлы в следующих местах
- sudo rm -rf /opt/cato
- sudo rm -rf /usr/lib/cato/
- sudo rm -rf /var/log/cato*.log
- sudo rm -rf ~/.cato/
Перезагрузите ваше устройство.

Если вы внесли изменения в конфигурацию сети вашей системы во время установки Cato клиент, возможно, вам нужно будет вручную отменить эти изменения.