Avant de pouvoir réaliser l’intégration d’Active Directory Certificate Service (AD CS) avec Jamf Pro, vous devez installer le connecteur Jamf AD CS. Ce service transfère de façon sécurisée toutes les communications entre Jamf Pro et AD CS.

Lorsque vous installez le connecteur Jamf AD CS, le programme d’installation effectue automatiquement les opérations suivantes :

Installe et configure les apps nécessaires pour exécuter le connecteur Jamf AD CS. Pour plus d’informations, consultez la section Apps installées.
Installe le connecteur Jamf AD CS.
Génère les certificats requis pour sécuriser la communication avec Jamf Pro. Pour plus d’informations, consultez la section Certificats du connecteur Jamf AD CS.

Apps installées

Lorsque vous installez le connecteur Jamf AD CS, Microsoft Internet Information Services (IIS) pour Windows Server est installé automatiquement. Microsoft IIS est le serveur d’application web qui exécute le connecteur Jamf AD CS. Un répertoire nommé AD CS Proxy est installé à l’emplacement suivant :
C:\inetpub\wwwroot\adcsproxy

Pour plus d’informations sur IIS, consultez le site web suivant :
https://www.iis.net

Lors de l’installation du connecteur Jamf AD CS, les éléments suivants sont automatiquement configurés :

Authentification par mappage de certificat client IIS : IIS est automatiquement configuré pour établir à la communication entre Jamf Pro et le connecteur Jamf AD CS via l’authentification par mappage de certificat client IIS.
Pour plus d’informations sur l’authentification par mappage de certificat client IIS, consultez la documentation de référence pour la configuration de Microsoft.
ASP.NET : ce framework fournit une infrastructure d’application pour le connecteur Jamf AD CS. Il est intégré à l’instance de l’app web IIS.

Certificats du connecteur Jamf AD CS

Les certificats suivants sont générés automatiquement lors de l’installation du connecteur Jamf AD CS :

Certificat

Détails

Certificat du serveur (.pem ou
.cer)

Ce certificat permet d’établir la confiance entre Jamf Pro et le connecteur Jamf AD CS. Il s’agit d’un certificat SSL autosigné généré lorsque le connecteur Jamf AD CS est installé, permettant à IIS de valider les certificats client.

Le certificat du serveur est exporté vers le répertoire de travail actuel avec le nom de fichier suivant :
adcs-proxy-ca.cer

Remarque : Le certificat du serveur est requis lors de la configuration de Jamf Pro pour communiquer avec le connecteur Jamf AD CS.

Certificat du client (.pfx ou
.p12)

Ce certificat permet à Jamf Pro de s’authentifier auprès du connecteur Jamf AD CS. Le certificat du client est généré lorsque le connecteur Jamf AD CS est installé et signé par le certificat du serveur. Il est exporté au format PFX à l’aide d’un mot de passe généré aléatoirement, envoyé au shell au cours de l’installation du connecteur Jamf AD CS.

Remarque : Le certificat du client et le mot de passe généré aléatoirement sont requis lors de la configuration de Jamf Pro pour communiquer avec le connecteur Jamf AD CS.

Les deux certificats sont requis lors de la configuration de Jamf Pro pour communiquer avec le service proxy AD CS.

Exigences

Le connecteur Jamf AD CS requiert un serveur avec :

Windows Server 2016 joint à un domaine ayant une relation de confiance avec le domaine de l’autorité de certification
Pour plus d’informations sur la jonction du serveur à un domaine ayant une relation de confiance avec le domaine de l’autorité de certification, consultez la documentation Microsoft suivante :
Jonction des serveurs au domaine et ouverture d’une session
.NET Framework 4.5 ou version ultérieure
Pour plus d’informations sur .NET Framework, consultez le site web suivant :
https://www.microsoft.com/net
PowerShell 5.1 (pour le script d’installation)

Communication réseau

Le connecteur Jamf AD CS requiert les ports TCP et protocoles suivants :

DCOM : Le connecteur Jamf AD CS utilise un Modèle Composant Objet Distribué (DCOM : Distributed Component Object Model) Microsoft pour communiquer avec AD CS. Les ports TCP suivants doivent être ouverts pour cette communication :
- 135
- 49152-65535
Pour plus d’informations sur Microsoft DCOM, consultez le site web suivant :
https://docs.microsoft.com/openspecs/windows_protocols/ms-dcom/4a893f3d-bd29-48cd-9f43-d9777a4415b0

HTTPS : Jamf Pro ouvre des connexions au connecteur Jamf AD CS, en général via le port TCP 443. Le port HTTPS doit être ouvert, entrant, sur votre pare-feu et sur le pare-feu Windows exécuté sur le serveur sur lequel le connecteur Jamf AD CS est installé.

De plus, comme le connecteur Jamf AD CS hôte doit être lié au domaine, les ports requis par Microsoft pour prendre en charge la liaison doivent être ouverts entre le connecteur Jamf AD CS hôte et le contrôleur de domaine AD.

Pour plus d’informations, consultez l’article suivant de la Base de connaissances : Ports réseau utilisés par Jamf Pro.

Installation du connecteur Jamf AD CS

Connectez-vous à Jamf Nation et accédez à la page suivante :
https://www.jamf.com/jamf-nation/my/products
Téléchargez le connecteur Jamf AD CS sur le serveur sur lequel vous prévoyez d’installer le proxy.
Connectez-vous au serveur en tant qu’utilisateur disposant de privilèges d’administrateur.
Double-cliquez sur le connecteur Jamf AD CS pour le décompresser.
Ouvrez PowerShell en tant qu’administrateur, puis exécutez le programme d’installation en utilisant une commande similaire à la suivante :

.\deploy.ps1 -fqdn my.adcs-proxy.url -jamfProDn my.domain.name -cleanInstall

Cette commande installe le connecteur Jamf AD CS et génère les certificats du serveur et du client.

Lorsque l’installation du connecteur Jamf AD CS est terminée, vous pouvez configurer les réglages dans Jamf Pro pour permettre la communication entre Jamf Pro et le connecteur Jamf AD CS.