Proxy LDAP

Jamf Pro vous permet d'activer un proxy LDAP. L’activation d’un proxy LDAP crée un tunnel sécurisé pour permettre au trafic de passer entre Jamf Pro et un service d'annuaire LDAP. Par exemple, si votre environnement utilise un pare-feu, un proxy LDAP peut être utilisé pour permettre à un service d'annuaire sur un réseau interne d’échanger des informations en toute sécurité entre le service d'annuaire et Jamf Pro.

Le proxy LDAP est hébergé par le Gestionnaire d'infrastructure, un service géré par Jamf Pro. Après avoir installé une instance du Gestionnaire d'infrastructure, Jamf Pro vous permet d'activer un proxy LDAP si vous avez configuré un serveur LDAP dans Jamf Pro.

Remarque :

Le proxy LDAP hébergé sur le Gestionnaire d'infrastructure n'est pas le même service que le serveur open source NetBoot/SUS/LP. Pour plus d'informations sur le serveur open source NetBoot/SUS/LP, consultez la page web suivante : https://github.com/jamf/NetSUS/tree/master/docs .

Communication réseau

Lors de l’utilisation du proxy LDAP, le gestionnaire d’infrastructure Jamf peut être personnalisé pour un accès TCP entrant par n’importe quel port disponible. Sur Linux, il faut utiliser le port 1024 ou supérieur, car les ports portant des numéros inférieurs sont réservés aux services racine. Le port utilisé doit être ouvert et entrant sur votre pare-feu ainsi que sur l’ordinateur sur lequel le gestionnaire d’infrastructure est installé. Configurez les règles relatives au pare-feu entrant de votre connexion et du système d’exploitation de l’hôte du gestionnaire d’infrastructure Jamf pour autoriser les connexions sur ce port uniquement depuis Jamf Pro. Pour les environnements hébergés dans Jamf Cloud, limitez les adresses IP sources à la liste correspondant à leur région d’hébergement.

Remarque :

Le gestionnaire d’infrastructure ne respecte actuellement pas les réglages proxy du réseau configurés dans le système d’exploitation de l’hôte ou dans Java. Par conséquent, le gestionnaire d’infrastructure doit être inscrit auprès de Jamf Pro et recevoir sa configuration initiale sur un réseau qui ne nécessite pas de connexion via un proxy sortant. À moins qu’une règle de pare-feu ne soit créée pour permettre au gestionnaire d’infrastructure de se connecter à Jamf Pro sans proxy sortant, le gestionnaire d’infrastructure ne recevra pas les mises à jour de configuration LDAP et ne pourra pas informer Jamf Pro qu’il est opérationnel. Il pourra cependant toujours recevoir les demandes de recherche LDAP entrantes de Jamf Pro.

Pour la communication entre le gestionnaire d’infrastructure et un service d’annuaire LDAP, le port entrant par défaut de votre serveur LDAP est utilisé. Ce port est spécifié dans la configuration du serveur LDAP dans Jamf Pro. Les configurations les plus courantes sont le port 389 pour LDAP et le port 636 pour LDAPS. Cette communication s’effectue uniquement entre le gestionnaire d’infrastructure de la zone démilitarisée et un service d’annuaire LDAP interne.

Remarque :

Les adresses de domaine internes (par exemple, .local, .company ou .mybiz) ne sont pas prises en charge pour le moment. Le gestionnaire d’infrastructure doit pouvoir être résolu par le serveur Jamf Pro externe.

Configuration du proxy LDAP

Exigences

Pour configurer un proxy LDAP, vous avez besoin des éléments suivants :

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Réglages système, cliquez sur Serveurs LDAP .
  3. Cliquez sur le serveur LDAP auquel vous souhaitez affecter un proxy LDAP.
  4. Cliquez sur Modifier .
  5. Cochez la case Activer le proxy LDAP.
  6. Sélectionnez le serveur proxy à utiliser.

    L'adresse de liaison du proxy est automatiquement remplie en fonction du serveur que vous sélectionnez.

  7. Entrez un numéro de port.
  8. Cliquez sur Enregistrer .