Der Infrastructure Manager LDAP-Proxy-Dienst erstellt einen Netzwerk-Proxy, der eine zusätzliche Abgrenzungsebene zwischen Jamf Pro und Ihrem LDAP-Verzeichnisdienst hinzufügt. Dies verhindert, dass der Verzeichnisdienst eine direkte Internetverbindung aufbaut. LDAP-Datenverkehr zwischen Jamf Pro und dem LDAP-Proxy wird über einen TLS-Tunnel geleitet, ungeachtet davon, ob der LDAP-Datenverkehr verschlüsselt ist.
Sie können den Infrastructure Manager LDAP-Proxy so konfigurieren, dass er eingehende LDAP-Verbindungen an einem beliebigen verfügbaren Port akzeptiert. Unter Linux werden normalerweise Ports ab 1024 verwendet, da die Ports darunter für Root-Dienste reserviert sind. Um Jamf Pro das Herstellen einer Verbindung zu Infrastructure Manager zu ermöglichen, muss der eingehende LDAP-Port in der Firewall und auf dem Infrastructure Manager Server geöffnet sein.
Zu Sicherheitszwecken empfiehlt Jamf das Konfigurieren von Firewall-Regeln in Ihrem Netzwerk und auf dem Infrastructure Manager Host-Server, sodass nur Jamf Pro zur Verbindung mit dem LDAP-Port berechtigt ist. Wenn Ihre Jamf Pro Instanz in Jamf Cloud gehostet wird, richten sich die Quell-IP-Adressen nach Ihrer Hosting-Region. Die Hosting-Regionen werden im Artikel Permitting Inbound/Outbound Traffic with Jamf (Zulassen von eingehendem und ausgehendem Datenverkehr zu bzw. von Jamf Cloud) aufgeführt.
Von Infrastructure Manager werden derzeit keine Einstellungen für Netzwerk-Proxys berücksichtigt, die im Host-Betriebssystem oder in Java konfiguriert sind. Aus diesem Grund muss Infrastructure Manager bei Jamf Pro registriert werden. Zudem muss die Erstkonfiguration über ein Netzwerk erfolgen, das keine Verbindung über einen ausgehenden Proxy erfordert. Sofern keine Firewall-Regel erstellt wird, um die Verbindung von Infrastructure Manager mit Jamf Pro ohne einen Proxy für den ausgehenden Datenverkehr zuzulassen, empfängt Infrastructure Manager keine LDAP-Konfigurations-Updates und kann die Betriebsbereitschaft nicht an Jamf Pro übermitteln. Infrastructure Manager kann jedoch weiterhin eingehende LDAP-Suchanfragen von Jamf Pro über Proxy weiterleiten.
Der standardmäßige Eingangs-Port des LDAP-Servers wird zur Kommunikation zwischen Infrastructure Manager und dem LDAP-Verzeichnisdienst genutzt. Der Port ist in der Konfiguration des LDAP-Servers in Jamf Pro angegeben. Am häufigsten werden Port 389 bei LDAP und Port 636 bei LDAPS verwendet. Die Kommunikation erfolgt ausschließlich zwischen Infrastructure Manager in der demilitarisierten Zone (DMZ) und einem internen LDAP-Verzeichnisdienst.
Um DNS-Suche und TLS-Zertifikat-Validierung nutzen zu können, muss der Internet-gerichtete Hostname für Infrastructure Manager über öffentliches DNS auflösbar sein. Der DNS-Datensatz sollte zur externen IP („VIP“) für Ihren LDAP-Proxy aufgelöst werden. Bei Verbindungen über eine IP-Adresse schlägt die Zertifikat-Validierung fehl und ausschließlich interne Domänenadressen (z. B. .local, .company oder .mybiz) sind nicht mit öffentlichem DNS kompatibel.
Konfigurieren Sie den Server Infrastructure Manager für die Verwendung interner DNS-Server und erstellen Sie einen DNS-Adressdatensatz, um seinen öffentlichen DNS-Namen in die IP-Adresse seines internen Netzwerkports aufzulösen.
Ändern Sie die Hosts-Datei des Servers Infrastructure Manager , um seinen öffentlichen DNS-Namen in die IP-Adresse des internen Netzwerkports aufzulösen.
Infrastructure Manager 2.5.0 erfordert Jamf Pro10.27.0 oder neuer für Umgebungen, in denen die Infrastructure Manager Instanz als LDAP-Proxy-Server hinzugefügt ist.
Weitere Informationen zur Netzwerkkommunikation und den Verbindungen zwischen Jamf Pro und Infrastructure Manager finden Sie im Artikel Von Jamf Pro verwendete Netzwerkports.