Mavericks OS X 伺服器 - 配置文件管理器 - 配置文件管理器埠是否必須映射到路由器才能獲得全部功能?
Mavericks OS X 伺服器 - 配置文件管理器 - 配置文件管理器埠是否必須映射到路由器才能獲得全部功能?
我注意到伺服器詢問我是否希望 Profile Manager 埠可用。我檢查了它添加到路由器的設置,它為伺服器映射了 tcp 埠 80、443 和 1640。
埠 80 只是 apache web 伺服器,所以它添加了這個,所以你可以訪問 web 界面。出於與上述相同的原因,埠 443 再次成為 ssl apache Web 伺服器。
1640埠呢?
事實是我不希望從外部(通過 Web 界面)訪問配置文件管理器,但我確實希望它能夠正常執行。我應該把這個 tcp 1620 留在那兒,還是可以安全地刪除所有這些,Profile Manager 將繼續工作?
PS。還在 Apple 的支持站點http://support.apple.com/kb/HT5302上找到了此文件。 它似乎添加了更多埠,這些埠似乎沒有出現在自動配置的任何地方。
2195、2196 由 Profile Manager 用於發送推送通知
5223 用於維持與 APN 的持久連接並接收推送通知
80/443 為 Profile Manager 管理員提供對 Web 界面的訪問
1640 註冊訪問證書頒發機構
不需要映射埠 2195、2196 和 5223,因為它們用於與 Apple 推送通知伺服器的傳出連接。除非您正在執行出口過濾,否則您無需對這些執行任何操作。如果您正在執行出口過濾,請確保在這些埠上允許連接到 Apple 的 17.0.0.0/8 網路塊。
埠 1640 用於安全配置註冊協議 (SCEP)。我還沒有測試過,但我認為只有當你想註冊不在 LAN 上的新設備時才需要映射。如果您從防火牆內進行所有註冊,我認為您可以取消映射這個。
埠 80 和 443 用於 Web 界面(管理員為“配置文件管理器”,使用者為“使用者門戶”),以及設備下載配置文件。推送通知用於告知設備新的/更新的配置文件,但不發送實際的配置文件;為此,設備在埠 443 上聯繫伺服器(假設您已設置 SSL)以下載配置文件本身。如果您將這些未映射,您的設備將不會收到任何新的/更新的配置文件,直到它們位於專用網路上。
最終結果:您實際上不需要映射任何埠,但如果您不需要,您的客戶端設備在離開專用網路時將具有有限的功能。
順便說一句,如果您為伺服器使用本地或私有主機名(例如 server.local 或 server.private),則基本上同樣的限制適用——在這些情況下,客戶端將無法從私有網路外部解析伺服器的地址,因此將無法註冊或下載新的配置文件。