Présentation

Le connecteur Jamf AD CS vous permet d’ajouter Active Directory Certificate Services (AD CS) comme fournisseur de PKI dans Jamf Pro. AD CS peut ainsi être utilisé comme autorité de certification (CA) pour distribuer des certificats aux ordinateurs et aux appareils mobiles via les profils de configuration.

Le connecteur est une application Web SSL sécurisée qui reçoit les demandes de certificat client via Jamf Pro et s’exécute au travers du serveur Web IIS de Microsoft. Lorsqu’il reçoit une demande de Jamf Pro, le connecteur convertit la demande Web en protocole DCOM natif de Microsoft et la transmet à votre serveur AD CS pour finalement renvoyer le numéro de demande de certificat AD CS. Jamf Pro renvoie ensuite le numéro de demande à AD CS via le connecteur Jamf AD CS pour vérifier que le certificat signé a été généré. Une fois que le certificat est prêt, il est renvoyé à Jamf Pro pour être réempaqueté afin de pouvoir être distribué à un appareil géré. Les appareils ne se connectent jamais directement au connecteur, les règles de pare-feu peuvent donc être utilisées pour restreindre l’accès. Seul Jamf Pro disposera du certificat client nécessaire pour s’authentifier auprès du service.

Le processus est similaire à celui utilisé dans le rôle de serveur NDES (SCEP) de Microsoft, dans la mesure où les deux services créent des applications frontales Web sécurisées pour AD CS. Les principales différences résident dans le fait que le connecteur Jamf AD CS requiert un certificat client pour authentifier les connexions plutôt qu’un mot de passe challenge. En outre, le connecteur Jamf AD CS prend en charge l’utilisation de plusieurs modèles, alors qu’un serveur NDES utilise un seul modèle de certificat AD CS.

L’ajout d’AD CS comme fournisseur de PKI pour la distribution de certificats avec Jamf Pro comprend les étapes suivantes :
Installation du connecteur Jamf AD CS

Le connecteur Jamf AD CS s’exécute en tant que service sur un serveur Windows qui permet à Jamf Pro de communiquer avec le serveur de l’autorité de certification AD CS.

Ajout du connecteur Jamf AD CS comme fournisseur de PKI dans Jamf Pro.
Cela implique de configurer les réglages dans Jamf Pro afin de définir l’emplacement du connecteur et des serveurs AD CS, ainsi que d’ajouter les certificats client et serveur pour permettre l’authentification entre Jamf Pro et le connecteur.
Une fois la communication entre Jamf Pro et AD CS établie, vous pouvez déployer les certificats en utilisant les fonctionnalités suivantes de Jamf Pro :
Profils de configuration
Jamf Pro vous permet de distribuer les certificats via des profils de configuration en utilisant AD CS comme CA.
Apps internes
Vous pouvez distribuer des apps internes, développées avec le SDK Jamf Certificate, afin d’établir des identités pour la prise en charge de l’authentification par certificat. Cela vous permet d’utiliser l’authentification par signature unique (SSO) ou d’autres actions spécifiques à votre environnement. Lors de la distribution, cela vous permet également d’appliquer une configuration d’app gérée à l’app pour lui permettre de demander les certificats nécessaires.

Présentation de la communication AD CS

Jamf Pro utilise le connecteur Jamf AD CS pour communiquer avec AD CS afin d’obtenir des certificats. Les schémas suivants illustrent certaines implémentations courantes du connecteur Jamf AD CS.

Jamf Cloud avec connecteur Jamf AD CS dans la DMZ

Le schéma suivant illustre comment la communication entre Jamf Pro et AD CS s’effectue si le connecteur Jamf AD CS est hébergé dans la DMZ. Jamf Pro s’authentifie auprès du serveur du connecteur Jamf AD CS avec un certificat client, puis le connecteur AD CS contacte la CA Microsoft via DCOM pour demander le certificat.

Jamf Cloud avec une couche DMZ proxy inverse

Le schéma suivant illustre comment la communication entre Jamf Pro et AD CS s’effectue si vous utilisez un proxy inverse ou un répartiteur de charge avec le connecteur AD CS. Un proxy inverse peut être utilisé dans la DMZ pour réduire le nombre de ports ouverts requis entre la DMZ et le réseau interne, ou lorsqu’un environnement réseau ne permet pas aux hôtes basés dans la DMZ d’être liés à AD.

Serveur Jamf Pro sur site dans la DMZ

Le schéma suivant illustre comment la communication entre Jamf Pro et AD CS s’effectue avec le connecteur Jamf AD CS si le serveur Jamf Pro est hébergé dans la DMZ.

Remarque :

  • Les appareils sur le réseau interne doivent être capables de communiquer avec Jamf Pro afin de recevoir un certificat.

  • Dans un environnement en cluster, chaque nœud doit pouvoir communiquer avec le connecteur Jamf AD CS.