Jamf Pro を Active Directory 証明書サービス (AD CS) と統合する前に、Jamf AD CS Connector をインストールする必要があります。このサービスは Jamf Pro と AD CS の間の全通信を安全に転送します。

Jamf AD CS Connector をインストールする際、インストーラは次のことを自動的に行います。

Jamf AD CS Connector を実行するために必要なアプリケーションをインストールし、構成します。詳しくは、インストール済みのアプリケーションを参照してください。
Jamf AD CS Connector をインストールします。
Jamf Pro との安全な通信を確保するために必要な証明書を生成します。詳細については、「Jamf AD CS Connector 証明書」を参照してください。

インストール済みのアプリケーション

Jamf AD CS Connector をインストールする際、Microsoft Internet Information Services (IIS) for Windows Server が自動的にインストールされます。Microsoft IIS は Jamf AD CS Connector を実行するウェブアプリケーションサーバです。AD CS Proxy という名称のディレクトリは、次の場所にインストールされています。
C:\inetpub\wwwroot\adcsproxy

IIS の詳細については、次のウェブサイトを参照してください:
https://www.iis.net

さらに、Jamf AD CS Connector をインストールする際に、次のものが自動的に構成されます。

IIS クライアント証明書マッピング認証 - Jamf Pro と Jamf AD CS Connector の間の通信を有効にし、IIS クライアント証明書マッピング認証を使用して実行するために IIS が自動的に構成されます。
IIS クライアント証明書マッピング認証の詳細については、Microsoft 構成リファレンスドキュメントを参照してください。
ASP.NET - これは、Jamf AD CS Connector のアプリケーションフレームワークを提供し、IIS ウェブアプリケーションのインスタンスに統合されます。

Jamf AD CS Connector 証明書

Jamf AD CS Connector をインストールする際、次の証明書が自動的に生成されます。

証明書

詳細

サーバ証明書 (.pem または
.cer)

この証明書により、Jamf Pro と Jamf AD CS Connector の間の信頼が確保されます。これは、Jamf AD CS Connector がインストールされるときに生成される自己署名付き SSL 証明書で、これを利用すると、IIS がクライアント証明書を検証できます。

サーバ証明書は
adcs-proxy-ca.cer というファイル名で現在作業を行っているディレクトリにエクスポートされます。

注: Jamf AD CS Connector と通信を行うために Jamf Pro を構成する際には、サーバ証明書が必要です。

クライアント証明書 (.pfx または
.p12)

この証明書を利用すると、Jamf Pro が Jamf AD CS Connector で認証を行えるようになります。Jamf AD CS Connector がインストールされ、サーバ証明書で署名されるときには、クライアント証明書が生成されます。ランダムに生成されたパスワードを使用して PFX 形式でエクスポートされ、AD CS Connector のインストール中にシェルに出力されます。

注: Jamf AD CS Connector と通信を行うために Jamf Pro を構成する際には、クライアント証明書とランダムに生成されたパスワードが必要です。

AD CS プロキシサービスと通信を行うために Jamf Pro を構成する際には、両方の証明書が必要です。

要件

Jamf AD CS Connector には次のようなサーバが必要です。

認証局のドメインと信頼関係のあるドメインに参加している Windows Server 2016
認証局のドメインと信頼関係のあるドメインへのサーバの参加の詳細については、次の Microsoft のドキュメントを参照してください:
サーバーコンピューターをドメインに追加してログオンする
.NET Framework 4.5 以降
.NET Framework の詳細については、次のウェブサイトを参照してください:
https://www.microsoft.com/net
PowerShell 5.1 (インストールスクリプト用)

ネットワーク通信

Jamf AD CS Connector には次の TCP ポートとプロトコルが必要です。

DCOM: Jamf AD CS Connector は Microsoft Distributed Component Object Model (DCOM) を使用して AD CS と通信を行います。次の TCP ポートを確保して、この通信に対応する必要があります。
- 135
- 49152-65535
Microsoft DCOM の詳細については、以下の Web サイトを参照してください。
https://docs.microsoft.com/openspecs/windows_protocols/ms-dcom/4a893f3d-bd29-48cd-9f43-d9777a4415b0

HTTPS - Jamf Pro は、通常 TCP ポート 443 で AD CS Connector との HTTPS 接続を開始します。ネットワークファイアウォールにおいてインバウンドで HTTPS ポートを開く必要があります。また、Jamf AD CS Connector がインストールされているサーバを実行している Windows ファイアウォールでも開く必要があります。

さらに、Jamf AD CS Connector ホストはドメインとバインドする必要があるため、バインドをサポートするために Microsoft が求めるポートを Jamf AD CS Connector ホストと AD ドメインコントローラの間で開く必要があります。

詳しくは、ナレッジベース資料「Jamf Pro に使用されるネットワークポート」を参照してください。

Jamf AD CS Connector のインストール

Jamf Nation にログインし、次のページに移動します:
https://www.jamf.com/jamf-nation/my/products
Jamf AD CS Connector をインストールするサーバにダウンロードします。
管理者の権限を持つユーザとしてサーバにログインします。
Jamf AD CS Connector をダブルクリックし、解凍します。
PowerShell を管理者として開いてから、次のようなコマンドを実行することによりインストーラを実行します。

.\deploy.ps1 -fqdn my.adcs-proxy.url -jamfProDn my.domain.name -cleanInstall

このコマンドは、Jamf AD CS Connector をインストールし、サーバとクライアントの証明書を生成します。

Jamf AD CS Connector のインストールが完了すると、Jamf Pro の設定を構成し、Jamf Pro と Jamf AD CS Connector の間の通信を有効にできます。