本文解释了如何安装和运行 Cato Linux 客户端 v5.1。
从版本 5.1 开始,Linux 客户端支持设备状态检查,可以包含在您的客户端连接性和安全策略中。 此版本还支持用户感知、由 Cato 管理的自动升级以及无需浏览器的 SSO。
-
支持的 64 位 (X86_64) Linux 操作系统版本:
-
Ubuntu v18及以上
-
CentOS v8及以上
-
Fedora v36及以上
-
Debian v11及更高版本
-
Mint v20.3及更高版本
-
-
有关 SSO 和基于 GUI 的功能:
-
支持所有 Linux 桌面版本 (例如:Gnome 和 KDE)
-
为设备定义一个默认浏览器 (通常默认设置为 GNOME)
-
仅支持 Azure 的无界面 SSO。 有关如何配置 Azure SSO 的更多信息,请参见 为您的账户配置 Azure SSO
-
-
安装和执行脚本从 CLI 运行,需要您打开一个终端应用程序
下载客户端文件并在您的 Linux 设备上运行。
要在 Linux 设备上安装客户端:
-
从客户端下载门户选择 Linux 标签并下载客户端。
可用文件类型:
-
.rpm (红帽包管理器)
-
Debian (.deb)
-
-
运行客户端文件:
-
对于 .rpm 文件,在终端中输入以下命令:sudo rpm -i cato-client-install.rpm
-
对于 Debian 文件,在终端中输入以下命令:sudo dpkg -i cato-client-install.deb
-
要在基于浏览器的设备上将客户端连接到 Cato 云,请运行命令:cato-sdp start
要在无头(无浏览器)设备上将Client连接到Cato Cloud,运行命令: cato-sdp start --account <account name> --user <SDP user's email address>
注意
注意: 账户名是账户 的子域名。 要找到子域名,导航到 访问 > 单点登录。
要在无浏览器的设备上使用SSO认证,可以使用具有浏览器的其他设备代表无头设备进行认证。
您可以使用无头SSO在非浏览器环境中认证SDP用户,例如命令行工具或打印机,无需浏览器。 通过无头SSO,您可以使用其他设备来代表非浏览器设备进行认证,该设备具有浏览器。 通过浏览器成功认证后,非浏览器设备连接到Cato Cloud。
使用无头SSO无法进行静默重新认证。 令牌过期后,SDP用户需要重新认证。
以下是您可以在Linux Client中使用的操作。 每个参数前加上cato-sdp。
|
参数 |
描述 |
|---|---|
|
start |
Client连接到Cato Cloud |
|
stop |
Client断开与Cato Cloud的连接 |
|
help |
显示可用参数列表 |
|
status |
显示连接状态 |
|
version |
显示Client版本 |
|
支持 |
联系技术支持 |
|
更新 |
将Client更新到最新版本 |
|
import-cert |
导入设备证书 |
以下是您在运行Client时可用于不同功能和设置的可选参数。 每个参数前应加上cato-sdp start。
|
参数 |
描述 |
|---|---|
|
--address<PoP IP地址> |
Client连接到特定的Cato PoP(联系支持以获取特定的IP地址)。 默认行为是Client自动连接到Cato Cloud中最佳PoP。 |
|
--append {head|tail} |
保留现有的配置在/etc/resolv.conf。 连接后,Client将/etc/resolv.conf替换为从Cato接收的DNS配置。 使用此参数将Cato配置附加到现有配置。
如果在Cato管理应用程序中启用了分流隧道,则忽略此参数,Client始终替换/etc/resolv.conf的内容。 |
|
--cato-sdp 支持 |
下载客户端日志或将其直接发送到技术支持团队。 |
|
--floglevel --gloglevel |
设置Client的文件(floglevel)或全局(gloglevel)日志记录设置:
|
|
--headless --no-sso |
Client以无头模式运行。 no-sso提示SDP用户输入密码。 在没有配置SSO认证的账户中使用这个参数在无头设备上。 |
|
--help |
显示帮助屏幕。 |
|
--metric _metric_ |
为VPN流量创建的路由(见--route)。 如果未指定,此路由在系统中具有最高优先级(等同于指定--metric 0)。 |
|
--port |
更改DTLS端口(443或1337),端口443为默认设置。 |
|
--reconn _seconds_ |
在断开连接后,Client等待的秒数,然后尝试重新连接。 Client以此间隔尝试重连,直到建立连接或Client被外部停止。 如果未指定此参数,Client尝试重连一次,若不成功则立即退出。 |
|
--reg_code |
使用注册代码进行Client认证。 |
|
--route |
单个子网被路由到隧道而不是默认路由。 例如:--route 10.24.0.0/16 创建一个特定路由,使得只有此子网通过VPN路由。 如果未指定,Client添加默认路由,因此设备上的所有流量都通过VPN路由(等同于指定--route 0.0.0.0/0)。 |
|
--user,--account,--password,--reset-password,--reset-cred |
Cato用户凭证。 对于使用网页浏览器认证的用户,这些值是可选的。 password 是可选的。 当需要密码时,系统会提示用户添加一个新的。 reset-cred 重置所有用户凭证并移除认证令牌(适用于v5.0及以上版本)。 注意注意: 我们不建议使用 --password 参数。 |
|
--use-systemd-resolv |
使用systemd-resolv(而不是直接编辑/dev/resolv.conf)。 此参数的值为:
当Client使用--use-systemd-resolv参数时,不要使用append参数。 |
|
--版本 |
显示客户端版本的信息。 |
|
--pin |
输入MFA代码 |
您可以将Linux客户端的参数保存到文件中,然后在启动客户端时加载参数。 以下是客户端文件的参数:
|
参数 |
描述 |
|---|---|
|
--load_file_ |
使用之前使用--save存储在文件中的参数值。 您可以通过在命令行中指定来覆盖任何储存的设置。 由于凭证也存储在此文件中,请确保保持其私密,因为任何人都可以使用此文件连接到已保存的凭证。 或者,您可以在文件中存储一个空的或不正确的密码,然后在命令行中指定正确的密码。 例如:--load_file_ --password '******' |
|
--save_file_ |
将命令行上通过的所有参数保存到给定的文件中,以便与--load参数一起使用。 |
|
--show_file_ |
显示使用--save存储在文件中的设置。 |
本节包含用于使用设备认证设备证书的Linux客户端的参数。 有关更多信息,请参见分发和安装设备证书。
|
参数 |
描述 |
|---|---|
|
--cert <证书路径> |
用于设备认证的证书文件路径。 默认路径为:
|
如果您不再需要设备上的客户端,您可以卸载它。 一旦客户端被卸载,就无法对设备应用网络规则或安全策略。
卸载客户端:
-
在终端中,运行已安装文件类型的命令:
-
.rpm
sudo rpm -e cato-client-install -
.deb
sudo dpkg -r cato-client-install
-
-
(可选)在卸载过程完成后,删除以下位置的剩余配置文件
-
sudo rm -rf /opt/cato
-
sudo rm -rf /usr/lib/cato/
-
sudo rm -rf /var/log/cato*.log
-
sudo rm -rf ~/.cato/
-
-
重启您的设备。
如果在安装Cato客户端期间对系统网络配置进行了更改,您可能需要手动还原这些更改。
0 条评论
文章评论已关闭。