Public
personnels du Cnam
VPN GlobalProtect pour Linux
← Passerelle VPN
Téléchargement
Le client VPN GlobalProtect pour Linux est disponible dans ce répertoire.
Télécharger une archive compressée .tgz
, regroupant différents types de clients pour
différentes distributions Linux. Pour une nouvelle installation sur un poste à jour,
prendre la version la plus « élevée ».
Avant d'installer quoi que ce soit, bien vérifier que la
somme de contrôle correspond au fichier téléchargé ; un fichier SHA256SUMS
est fournit pour
cela ; il est signé par le RSSI avec sa clef OpenPGP
dans SHA256SUMS.sig
pour s'assurer qu'il n'a pas été altéré.
Installer la clef OpenPGP du RSSI :
$ curl -LO https://securite-informatique.cnam.fr/files/rssi-cnam-fr.asc
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 4573 100 4573 0 0 135k 0 --:--:-- --:--:-- --:--:-- 135k
$ gpg --import < rssi-cnam-fr.asc
gpg: key 5B50EB5B8455BBE2: public key "RSSI-CNAM-FR <rssi@cnam.fr>" imported
gpg: Total number processed: 1
gpg: imported: 1
Appeler le RSSI, par exemple par téléphone, pour vérifier la somme de contrôle avant de régler la confiance dans la clef.
Vérifier la signature des sommes de contrôles :
$ gpg --verify SHA256SUMS.asc SHA256SUMS
gpg: Signature made Tue Dec 19 22:30:04 2023 UTC
gpg: using ECDSA key F38357997407784D0420D9CD3B361433B01015B4
gpg: Good signature from "RSSI-CNAM-FR <rssi@cnam.fr>" [unknown]
Primary key fingerprint: 0D36 3779 E227 5C9A 7434 7012 5B50 EB5B 8455 BBE2
Subkey fingerprint: F383 5799 7407 784D 0420 D9CD 3B36 1433 B010 15B4
Vérifier la somme de contrôle :
$ grep $( openssl sha256 PanGPLinux-5.1.7-c10.tgz | sed 's/.*= //' ) SHA256SUMS
f317dc37635b9913849033758c743c4ddf8693c53df85c1b3efe84a7e8a51eb5 PanGPLinux-5.1.7-c10.tgz
Une fois téléchargée sur le poste, après cette vérification, décompresser l'archive et extraire les fichiers :
Choix du client à installer
Deux ensembles de versions de GlobalProtect sous Linux sont disponibles :
avec ou sans interface graphique. Avec interface graphique, les noms des
paquetages sont préfixés par GlobalProtect_UI_
; sans interface graphique,
plus de UI
dans le nom.
En fonction de la distribution Linux et du processeur, choisir le paquetage d'installation voulu :
- pour les distributions Debian et Ubuntu, le nom du paquetage contient
_deb
- pour les distributions CentOS et Red Hat, le nom du paquetage contient
_rpm
- pour les ordinateurs avec un processeur ARM, le nom du paquetage contient
_arm
- pour les ordinateurs avec un processeur Intel ou AMD, le nom du paquetage ne contient pas
_arm
Pour installer le paquetage sans vérification des dépendances de librairies, utiliser un
paquetage contenant _tar
.
Client avec interface graphique
L'installation se fait avec l'identité de l'utilisateur root
. Mieux vaut
utiliser le gestionnaire de paquetages natif pour ajouter automatiquement
tout paquet manquant requis par le client GlobalProtect.
Pour Debian et Ubuntu, lancer la commande suivante à partir d'un terminal :
où <gp-app-pkg>
est le chemin absolu du fichier
du paquet à installer.
Pour CentOS et Red Hat, lancer la commande suivante à partir d'un terminal :
où <gp-app-pkg>
est le chemin absolu du fichier
du paquet à installer.
Une fois que l'installation est terminée, le client GlobalProtect va démarrer automatiquement et la fenêtre suivante apparaîtra.
Entrer l'adresse du portail VPN vpn.cnam.fr
,
puis cliquer sur Connect.
Saisir les identifiants « Cnam EP » puis cliquer sur Sign In pour se connecter.
Connexion réussie :
et la bannière d'accueil apparaît alors sur l'écran :
Suivant le type d'interface graphique de distribution Linux, l'icône, GlobalProtect apparaît dans un coin, comme par exemple ci-après sur Ubuntu (bureau GNOME), où l'icône apparaît en haut à droite de l'écran:
NB : l'icône grisée et sans bouclier indique que le VPN est déconnecté :
Connexion graphique
Pour se connecter en VPN en utilisant l'interface graphique du client VPN GlobalProtect, lancer le client à partir d'un terminal :
En double-cliquant sur l'icône GlobalProtect présente sur l'écran, l'interface de connexion se lance aussi. Pour Ubuntu par exemple, l'icône se situe en haut à droite de l'écran :
L'absence de bouclier sur l'icône indique que le client GlobalProtect n'est pas connecté. Une fois le client lancé, la fenêtre suivante apparaît :
Cliquer sur Connect et saisir dans la fenêtre suivante les identifiants « Cnam EP » :
Cliquer ensuite sur Sign In.
Le client VPN GlobalProtect est alors bien connecté sur le réseau du Cnam, et la page d'accueil apparaît alors :
Sur Ubuntu par exemple, le bouclier est apparu sur l'icône de GlobalProtect :
Déconnexion graphique
Pour se déconnecter du VPN, double-cliquer sur l'icône GlobalProtect, la fenêtre suivante apparaît :
Cliquer sur Disconnect, le système se déconnecte du VPN.
Client texte
L'installation du paquetage se fait avec les privilèges root
.
Mieux vaut utiliser le gestionnaire de paquetages natif,
il ajoutera automatiquement tout paquet requis par le client GlobalProtect.
Pour Debian et Ubuntu :
Pour CentOS et Red Hat, installer le paquetage :
Une fois le client installé, il est alors possible d'exécuter les commandes
directement sur le terminal ou
de basculer en mode prompt, en tapant la commande globalprotect
:
Pour connaître les commandes possibles en mode prompt, utiliser help
:
>> help
Usage: globalprotect [COMMAND] [OPTIONS] [args...]
COMMAND: Specifies the action to perform. It can be one of the following:
collect-log
-- collect log information
connect
-- connect to server
disconnect
-- disconnect
disable
-- disable connection
import-certificate
-- import client certificate file
quit
-- quit from prompt mode
rediscover-network
-- network rediscovery
remove-user
-- clear credential
resubmit-hip
-- resubmit HIP information
set-log
-- set debug level
show
-- show information
OPTIONS: Specifies options for the selected command.
Input a command and then press tab to get options for the selected command.
Read more details in man globalprotect.
EXAMPLES:
Connect to portal with user id:
>> connect -p gp.acme.com -u test
Show current status:
>> show --status
Pour la suite du document, les commandes seront détaillées en mode commande en ligne, c'est-à-dire
directement à partir du terminal. On peut aussi utiliser le mode prompt, ce sont les mêmes commandes
sans les préfixer par globalprotect
.
Commande de connexion
Un terminal dédié aux connexions VPN s'avère simple à gérer.
Pour se connecter au VPN :
user@linuxhost:~$ globalprotect connect --portal vpn.cnam.fr
Retrieving configuration...
vpn.cnam.fr - Merci de saisir vos identifiants
username:cesarjules
Password:
Discovering network...
Connecting...
Connected
Visualiser le statut de la connexion :
La page de bienvenue est lisible :
user@linuxhost:~$ globalprotect show –welcome-page
The information is in /home/user/.GlobalProtect/GPwelcome.html
La page de bienvenue s'affichera alors dans le navigateur :
Afficher les détails de la connexion VPN :
user@linuxhost:~$ globalprotect show --details
Gateway Name: vpn.cnam.fr
Gateway Description: vpn.cnam.fr
Assigned IP Address: 163.173.73.191
Gateway IP Address: 163.173.44.4
Gateway Location:
Protocol: IPSec
Uptime(sec): 573
Commande de déconnexion
Pour se déconnecter du VPN :
user@linuxhost:~$ globalprotect disconnect
Disconnecting...
Disconnected
GlobalProtect status : Disconnected
← Passerelle VPN