Aperçu du Gestionnaire d’infrastructure Jamf
L’instance du Gestionnaire d’infrastructure Jamf est un service géré par Jamf Pro , qui permet au trafic de passer en toute sécurité entre Jamf Pro et un service d’annuaire LDAP. Le Gestionnaire d’infrastructure Jamf et le proxy LDAP résident généralement dans la DMZ du réseau de votre organisation. Les instances du Gestionnaire d’infrastructure peuvent être installées sur Linux et Windows. Pour plus d’informations, voir Installation d’une instance du Gestionnaire d’infrastructure Jamf.
Remarque : Ce guide fournit des instructions sur l’installation du Gestionnaire d’infrastructure pour le proxy LDAP. Pour plus d’informations sur l’installation du Gestionnaire d’infrastructure pour l’Auditeur de soins, consultez le document technique Installing and Configuring the Healthcare Listener (Installation et configuration de l’Auditeur de soins).
Communication réseau
Lorsque votre environnement est hébergé sur Jamf Cloud, les adresses IP externes nécessaires à Jamf Cloud doivent être autorisées pour l’entrée vers le Gestionnaire d’infrastructure. Les adresses de domaine internes (ex. : .local, .company ou .mybiz) ne sont pas prises en charge. Le Gestionnaire d’infrastructure doit pouvoir être résolu par le serveur Jamf Pro externe.
Lors de l’utilisation du proxy LDAP, le gestionnaire d’infrastructure Jamf peut être personnalisé pour un accès TCP entrant par n’importe quel port disponible. Sur Linux, il faut utiliser le port 1024 ou supérieur, car les ports portant des numéros inférieurs sont réservés aux services racine. Le port utilisé doit être ouvert et entrant sur votre pare-feu ainsi que sur l’ordinateur sur lequel le gestionnaire d’infrastructure est installé. Configurez les règles relatives au pare-feu entrant de votre connexion et du système d’exploitation de l’hôte du gestionnaire d’infrastructure Jamf pour autoriser les connexions sur ce port uniquement depuis Jamf Pro. Les clients Jamf Cloud doivent limiter les adresses IP sources à la liste correspondant à leur région d’hébergement. Pour plus d’informations, lisez l’article de la Base de connaissances Autoriser le trafic entrant/sortant avec le cloud Jamf.
Remarque : Le gestionnaire d’infrastructure ne respecte actuellement pas les réglages proxy du réseau configurés dans le système d’exploitation de l’hôte ou dans Java. Par conséquent, le Gestionnaire d’infrastructure doit être inscrit auprès de Jamf Pro et recevoir sa configuration initiale sur un réseau qui ne nécessite pas de connexion via un proxy sortant. Une règle de pare-feu doit être créée pour permettre au Gestionnaire d’infrastructure de se connecter à Jamf Pro sans utiliser de proxy sortant. Cela permettra au Gestionnaire d’infrastructure de recevoir les mises à jour de la configuration LDAP et d’informer Jamf Pro qu’elle est opérationnelle. Si la règle n’est pas mise en œuvre, le Gestionnaire d’infrastructure pourra toujours recevoir les demandes de recherche LDAP entrantes de Jamf Pro.
Pour la communication entre le gestionnaire d’infrastructure et un service d’annuaire LDAP, le port entrant par défaut de votre serveur LDAP est utilisé. Ce port est spécifié dans la configuration du serveur LDAP dans Jamf Pro. Les configurations les plus courantes sont le port 389 pour LDAP et le port 636 pour LDAPS. Cette communication s’effectue uniquement entre le gestionnaire d’infrastructure de la zone démilitarisée et un service d’annuaire LDAP interne.
Le diagramme suivant montre la communication réseau avec des exemples de ports entre votre service d’annuaire LDAP et Jamf Pro lorsque le Gestionnaire d’infrastructure est installé :
Important : Jamf Infrastructure Manager 2.2.0 nécessite Jamf Pro 10.27.0 ou version ultérieure pour les environnements dans lesquels l’instance du Gestionnaire d’infrastructure a été ajoutée en tant que serveur proxy LDAP.
Pour plus d’informations sur la communication réseau et les connexions établies entre le gestionnaire d’infrastructure et Jamf Pro, consultez l’article de la Base de connaissances Ports réseau utilisés par Jamf Pro.