Public
personnels du Cnam
VPN GlobalProtect pour Linux
Téléchargement
Le client VPN GlobalProtect pour Linux est disponible dans ce répertoire.
Télécharger une archive compressée .tgz, regroupant différents types de clients pour
différentes distributions Linux. Pour une nouvelle installation sur un poste à jour,
prendre la version la plus « élevée ».
Avant d'installer quoi que ce soit, bien vérifier que la
somme de contrôle correspond au fichier téléchargé ; un fichier SHA256SUMS est fournit pour
cela ; il est signé par le RSSI avec sa clef OpenPGP
dans SHA256SUMS.sig pour s'assurer qu'il n'a pas été altéré.
Installer la clef OpenPGP du RSSI :
$ curl -LO https://securite-informatique.cnam.fr/files/rssi-cnam-fr.asc
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 4573 100 4573 0 0 135k 0 --:--:-- --:--:-- --:--:-- 135k
$ gpg --import < rssi-cnam-fr.asc
gpg: key 5B50EB5B8455BBE2: public key "RSSI-CNAM-FR <rssi@cnam.fr>" imported
gpg: Total number processed: 1
gpg: imported: 1
Appeler le RSSI, par exemple par téléphone, pour vérifier la somme de contrôle avant de régler la confiance dans la clef.
Vérifier la signature des sommes de contrôles :
$ gpg --verify SHA256SUMS.asc SHA256SUMS
gpg: Signature made Tue Dec 19 22:30:04 2023 UTC
gpg: using ECDSA key F38357997407784D0420D9CD3B361433B01015B4
gpg: Good signature from "RSSI-CNAM-FR <rssi@cnam.fr>" [unknown]
Primary key fingerprint: 0D36 3779 E227 5C9A 7434 7012 5B50 EB5B 8455 BBE2
Subkey fingerprint: F383 5799 7407 784D 0420 D9CD 3B36 1433 B010 15B4
Vérifier la somme de contrôle :
$ grep $( openssl sha256 PanGPLinux-5.1.7-c10.tgz | sed 's/.*= //' ) SHA256SUMS
f317dc37635b9913849033758c743c4ddf8693c53df85c1b3efe84a7e8a51eb5 PanGPLinux-5.1.7-c10.tgz
Une fois téléchargée sur le poste, après cette vérification, décompresser l'archive et extraire les fichiers :
Choix du client à installer
Deux ensembles de versions de GlobalProtect sous Linux sont disponibles :
avec ou sans interface graphique. Avec interface graphique, les noms des
paquetages sont préfixés par GlobalProtect_UI_ ; sans interface graphique,
plus de UI dans le nom.
En fonction de la distribution Linux et du processeur, choisir le paquetage d'installation voulu :
- pour les distributions Debian et Ubuntu, le nom du paquetage contient
_deb - pour les distributions CentOS et Red Hat, le nom du paquetage contient
_rpm - pour les ordinateurs avec un processeur ARM, le nom du paquetage contient
_arm - pour les ordinateurs avec un processeur Intel ou AMD, le nom du paquetage ne contient pas
_arm
Pour installer le paquetage sans vérification des dépendances de librairies, utiliser un
paquetage contenant _tar.
Client avec interface graphique
L'installation se fait avec l'identité de l'utilisateur root. Mieux vaut
utiliser le gestionnaire de paquetages natif pour ajouter automatiquement
tout paquet manquant requis par le client GlobalProtect.
Pour Debian et Ubuntu, lancer la commande suivante à partir d'un terminal :
où <gp-app-pkg> est le chemin absolu du fichier
du paquet à installer.
Pour CentOS et Red Hat, lancer la commande suivante à partir d'un terminal :
où <gp-app-pkg> est le chemin absolu du fichier
du paquet à installer.
Une fois que l'installation est terminée, le client GlobalProtect va démarrer automatiquement et la fenêtre suivante apparaîtra.
Entrer l'adresse du portail VPN vpn.cnam.fr,
puis cliquer sur Connect.
Saisir les identifiants « Cnam EP » puis cliquer sur Sign In pour se connecter.
Connexion réussie :
et la bannière d'accueil apparaît alors sur l'écran :
Suivant le type d'interface graphique de distribution Linux, l'icône, GlobalProtect apparaît dans un coin, comme par exemple ci-après sur Ubuntu (bureau GNOME), où l'icône apparaît en haut à droite de l'écran:
NB : l'icône grisée et sans bouclier indique que le VPN est déconnecté :
Connexion graphique
Pour se connecter en VPN en utilisant l'interface graphique du client VPN GlobalProtect, lancer le client à partir d'un terminal :
En double-cliquant sur l'icône GlobalProtect présente sur l'écran, l'interface de connexion se lance aussi. Pour Ubuntu par exemple, l'icône se situe en haut à droite de l'écran :
L'absence de bouclier sur l'icône indique que le client GlobalProtect n'est pas connecté. Une fois le client lancé, la fenêtre suivante apparaît :
Cliquer sur Connect et saisir dans la fenêtre suivante les identifiants « Cnam EP » :
Cliquer ensuite sur Sign In.
Le client VPN GlobalProtect est alors bien connecté sur le réseau du Cnam, et la page d'accueil apparaît alors :
Sur Ubuntu par exemple, le bouclier est apparu sur l'icône de GlobalProtect :
Déconnexion graphique
Pour se déconnecter du VPN, double-cliquer sur l'icône GlobalProtect, la fenêtre suivante apparaît :
Cliquer sur Disconnect, le système se déconnecte du VPN.
Client texte
L'installation du paquetage se fait avec les privilèges root.
Mieux vaut utiliser le gestionnaire de paquetages natif,
il ajoutera automatiquement tout paquet requis par le client GlobalProtect.
Pour Debian et Ubuntu :
Pour CentOS et Red Hat, installer le paquetage :
Une fois le client installé, il est alors possible d'exécuter les commandes
directement sur le terminal ou
de basculer en mode prompt, en tapant la commande globalprotect :
Pour connaître les commandes possibles en mode prompt, utiliser help :
>> help
Usage: globalprotect [COMMAND] [OPTIONS] [args...]
COMMAND: Specifies the action to perform. It can be one of the following:
collect-log
-- collect log information
connect
-- connect to server
disconnect
-- disconnect
disable
-- disable connection
import-certificate
-- import client certificate file
quit
-- quit from prompt mode
rediscover-network
-- network rediscovery
remove-user
-- clear credential
resubmit-hip
-- resubmit HIP information
set-log
-- set debug level
show
-- show information
OPTIONS: Specifies options for the selected command.
Input a command and then press tab to get options for the selected command.
Read more details in man globalprotect.
EXAMPLES:
Connect to portal with user id:
>> connect -p gp.acme.com -u test
Show current status:
>> show --status
Pour la suite du document, les commandes seront détaillées en mode commande en ligne, c'est-à-dire
directement à partir du terminal. On peut aussi utiliser le mode prompt, ce sont les mêmes commandes
sans les préfixer par globalprotect.
Commande de connexion
Un terminal dédié aux connexions VPN s'avère simple à gérer.
Pour se connecter au VPN :
user@linuxhost:~$ globalprotect connect --portal vpn.cnam.fr
Retrieving configuration...
vpn.cnam.fr - Merci de saisir vos identifiants
username:cesarjules
Password:
Discovering network...
Connecting...
Connected
Visualiser le statut de la connexion :
La page de bienvenue est lisible :
user@linuxhost:~$ globalprotect show –welcome-page
The information is in /home/user/.GlobalProtect/GPwelcome.html
La page de bienvenue s'affichera alors dans le navigateur :
Afficher les détails de la connexion VPN :
user@linuxhost:~$ globalprotect show --details
Gateway Name: vpn.cnam.fr
Gateway Description: vpn.cnam.fr
Assigned IP Address: 163.173.73.191
Gateway IP Address: 163.173.44.4
Gateway Location:
Protocol: IPSec
Uptime(sec): 573
Commande de déconnexion
Pour se déconnecter du VPN :
user@linuxhost:~$ globalprotect disconnect
Disconnecting...
Disconnected
GlobalProtect status : Disconnected