El servicio de Proxy LDAP de Infrastructure Manager cree un proxy de red que añada una capa más de aislamiento entre Jamf Pro y su servicio de directorio LDAP. Esto impide que el servicio de directorio se conecte directamente a internet. El tráfico de LDAP entre Jamf Pro y el proxy LDAP viaja a través de un túnel TLS independientemente de que el tráfico de LDAP esté cifrado o no.
Puede configurar el Proxy LDAP de Infrastructure Manager para que acepte conexiones LDAP entrantes en cualquier puerto disponible. En Linux, se suele usar el puerto 1024 o superior porque los puertos con numeración inferior están reservados para los servicios raíz. Si quiere activar Jamf Pro para iniciar una conexión a Infrastructure Manager, el puerto LDAP de entrada debe estar abierto en su firewall y en el servidor de Infrastructure Manager.
Por motivos de seguridad, Jamf recomienda que configure reglas de firewall en su red y en el servidor host de Infrastructure Manager para que solo Jamf Pro tenga permiso para conectarse al puerto LDAP. Si su instancia de Jamf Pro está alojada en Jamf Cloud, su región de alojamiento determina las direcciones IP de origen. Las regiones de alojamiento se especifican en el artículo Autorización del tráfico entrante/saliente con Jamf Cloud.
Actualmente, Infrastructure Manager no respeta los ajustes de proxy de red configurados en el sistema operativo host o en Java. Por lo tanto, Infrastructure Manager debe estar inscrito en Jamf Pro y recibir su configuración inicial en una red que no requiera conexión a través de un proxy saliente. Salvo que se cree una regla de firewall para permitir que Infrastructure Manager se conecte con Jamf Pro sin usar un proxy saliente, Infrastructure Manager no recibirá actualizaciones de configuración LDAP ni podrá notificar a Jamf Pro que está operativo. Sin embargo, Infrastructure Manager sí podrá recibir solicitudes de consulta LDAP entrantes desde Jamf Pro.
El puerto de entrada estándar de su servidor LDAP se utiliza para la comunicación entre Infrastructure Manager y el servicio de directorio LDAP. El puerto se especifica en la configuración del servidor LDAP en Jamf Pro. Las configuraciones más habituales son el puerto 389 para LDAP y el puerto 636 para LDAPS. La comunicación se produce únicamente entre Infrastructure Manager en la zona DMZ y un servicio de directorio LDAP interno.
Para admitir la consulta de servicios de nombres de dominio (DNS) y la validación de certificados TLS, el nombre de host en internet para Infrastructure Manager se debe poder resolver mediante un DNS público. El registro de DNS se debe resolver en la IP externa («VIP») para su Proxy LDAP. Las conexiones mediante dirección IP no aprobarán la validación de certificados, y las direcciones de dominios solo internos (p. ej., .local, .company o .mybiz) son incompatibles con un DNS público.
Configure el servidor de Infrastructure Manager para que utilice servidores DNS internos y cree un registro de dirección DNS para resolver su nombre DNS público a la dirección IP de su puerto de red interno.
Modifica el archivo hosts del servidor de Infrastructure Manager para resolver su nombre DNS público a la dirección IP del puerto de red interno.
Infrastructure Manager 2.3.0 requiere Jamf Pro 10.27.0 o posterior para entornos con la instancia de Infrastructure Manager añadida como un servidor proxy LDAP.
Si quiere más información sobre la comunicación de red y las conexiones iniciadas entre Jamf Pro y Infrastructure Manager, consulte el artículo Puertos de red utilizados por Jamf Pro.