integrasi user account dengan ldap part

Upload: rajizal

Post on 07-Feb-2018

234 views

Category:

Documents


0 download

TRANSCRIPT

  • 7/22/2019 Integrasi User Account Dengan LDAP Part

    1/4

    IntegrasiserdenganDAPBagianldariArtikelSalah atukemudahani aringanMSWindows,hanya enganaluusernamean atupassword.angantassetaraaitumenggunakanDAP,olusintegrasisernamentukmemperinganugassystem dministratoranmempermudahser.lnfoLINUX edisi anuar i (01/2005) anI Maret (03/2005) telah mengenalkanL LDAP (Lightweight Directory Access

    Protocol) dan contoh konfigurasinya didistro SUSE. Mulai edisi ini penulis akanmembahas penggunaan LDAP sebagaisolusi ntegrasr seraccount erbagai erver,dengandistro FedoraCore. Bagian pertamaini membahas eknologi dan aplikasi sejenisLDAP, serta contoh konfigurasi dan peng-gunaanLDAP.Pengantareknologiingle ign-onFasilitas ntegrasi semua serverdengan satuusern me dan salrtpassw d dinamakansirg-Ie sign-on. Keuntungan yang didapat daripenggunaansingle sign-on ialah:O User tidak perlu menghafal lebih dari

    satu username dan password.Hal ini akan memudahkan system ad-ministrator karena user akan jarang me-minta system administrator untuk me-reset assword-nya arena upa.

    o System administrator akan bekerja leb-ih efisien.Untuk membuat username seorangkaryawan baru, mengubah konfigurasiusername,dan menonaktifkan usernametersebut pada saatada seorangkaryawankeluar, cukup dengan menambah, me-ngubah, atau menghapussatu usernamesekalisaja.

    o Meminimalkan kesalahan administrasi.Setelahsystem administrator mengubahatau menonaktifkan satu username de-

    62 INFOLINUX ' I'0"

    Berita UlasanAduSoftwareUtama Bisnis ApaSihSebenarnya...Tutoriat

    u *

    $emuax adaserverfasili-

    ngan sekali perintah saja, semua serversecara otomatis mengikuti perubahantersebut tanpa ada yang terlewatkan.Secara ogika, kepraktisan single sign-on

    adalah seperti gedung dengan beberapa u-angan akan ebih praktis jika ada satu kuncimasteryangdapat membuka semua uanganitu. Namun kepraktisan ini jika tidak dijagadengan benar akan menjadi kelemahan.Jikakunci master ersebutatuh ke tanganorangyang tidak berhak, akan menimbulkandampak ke seluruh ruangan dalam gedungtersebut. fadi, system administrator harusbisa menjaga keamanan password-nya.Beberapaplikasiingle ign-onyang opulell . WinbindWindbind merupakan servis pada Micro-soft Windows NT server, yang berfungsimemberikan data informasi user dan groupsertamelakukanautentikasi.

    Untuk mengintegrasikanautentikasi me-sin Linux/Unix ke MS Windows NT Serverdapat menggunakan samba. Cara ini tidakdianjurkan mengingat rentanya keamananpada Windows NT Server jika digunakansebagaimaster autentikasi server. ika mas-ter autentikasi server keamanannya emah,maka seluruh client server akan sangatdira-gukan keamanannya.2. Microsoftctive irectoryMicrosoft Active Directory adalah service

    directori yang terdistribusi yang terdapatkali pertama pada MS Windows 2000Serveryang kemudian dikembangkan lebih Ianjutpada MS Windows Server 2003. Active Di-rectory mempunyai fungsi sebagaidirektoriyang terpusat yang dapat mengatur seluruhsumber daya yang ada pada network secaraaman. Ini memungkinkan untuk memper-luas penggunaannya ke seluruh gedung,kota, atau beberapa okasi di dunia.

    Kerberos V5 merupakan protokol auten-tifikasi standar di Active Directory. Sedang-kan LDAP adalah protokol aksesdirektoriyang mendasariActive Directory ini. ActiveDirectory mendukung LDAP versi 2 danLDAP versi 3 yang menggunakan SecareSockets ayer (SSL).

    Mekanisme autentikasi digunakan un-tuk mengecek dentitas user atau komputer.Setelahprosesautentikasi identitas user se-Iesai,domain controller akan membuat se-btt;ah access oken untuk menyatakan akseslevel dari user tersebut dalam mengaksessegala umber daya dalam network. Denganaccess oken, user tidak perlu melakukanlogin berulang-ulang pada saat mengaksesservis ain pada server ain yang ada dalamsatu domain, pada saat proses autentikasidilakukan.

    Autentikasi di antara domain berdasar-kan kepercayaan(trust). Hubungan keper-cayaan di adakan di antara satu atau duadomain untuk mengizinkan user dalam satudomain diautentikasi oleh domain control-Ierd,alamdomain lainnya.

    www.info[inux.web.id

  • 7/22/2019 Integrasi User Account Dengan LDAP Part

    2/4

    erita UlasanAduSoftwareUtama BisnisApaSihSebenarnya...Tutorial

    Information Service (NIS) meru-sebuah servis pada Unix dan Linuxmenyediakan informasi ke semua

    di network. Informasi yangoleh NIS contohnya adalahpassword,home directory (/etc/

    dan informasi group (/etc/group).sebelumnyadikenal sebagaiSun Yellow

    YP). Nama Yellow Pagesmerupakanterdaftar dari British Telecom di Ing-

    dan tidak boleh digunakan tanpa seizinersebut,sehinggaSun akhirnya

    namanya menjadi NIS.NIS+

    merupakanpenyempuranaanNIS lebihSun Microsystems.Kelebihannya

    peningkatan keamanan protokol NIS,data terenkripsi, serta

    data yang disimpan lebih banyakdetail sehingga dapat menangani

    pada organisasiyang besar. Kelema-utamanya,NIS+ merupakan standar er-

    dimiliki oleh Sun. Meskipun pe-dapat membuat client ber-

    NISI, tetapi untuk mem-NIS+ serverharusmembeli dari Sun.

    server alan pada sistem operasi SunModel penamaan dari NIS+ ialahtruktur pohon (tree).Tiap titik

    pohon berhubunganke sebuahNIS+yang terdiri atas enam tipe: direktori,

    group, link, tabel, dan privat.Directoryadalah direktori servis yang

    ebih lanjut dari(Novell Directory Servic-+/+e) yangpada sistem operasi aringan

    NetWare. eDirectory menggunakansebagai standar protokol pengak-Kelebihan eDirectory ini kompati

    berbagai protokol standar sep-LDAP versi 3, XML, DSML, SOAP, dan

    eDirectory dapat dijalankan padaperatingsistem:Linux, Windows,

    NetWare, dan HP-UX. eDirec-menjadi dasar yang menghubungkan

    hak aksesmereka,dengan sum-daya ang dimiliki perusahaan.Di luar kelima teknologi singlesign-on di

    masihada beberapayang lainnya. Ke-

    lima teknologi single sign-on ini sering dite-mui oleh para user pada saatsekarang ni dilingkungan sistemoperasi Windows, Novelldan Linux/Unix. Dari kelima teknologitersebut,dua teknologi yang terbaru adalahMS Active Directory dan Novell eDirectory,yang menggunakan LDAP sebagaiprotokolpengaksesan.Bahkan Sun sendiri pada saatini memutuskan untuk tidak meneruskanpenggembanganNIS+ tetapi menggunakanSun One Directory Server yang juga meng-gunakan LDAP. Produk tersebut dibelidari Netscape yang sebelumnya bernamaNetscape Directory Server. felaslah bahwaLDAP telah menjadi standar protokol untukpengakses ervisdirektori saat ni.ServisirekoriServisdirektori adalah suatu database hu-sus yang teroptimasi untuk membaca danmencari informasi direktori. Direktori ber-isi deskripsi dan atribut yang mempunyaikemampuan untuk menyaring (filter) de-ngan baik. Servis direktori umumnya tidakmendukung proses transaksi rumit sepertiroll-back yanglazimnya ditemukan di sistemmanajemendatabaseDBMS)yangdidesainuntuk menangani volume data dalam jum-Iah sangatbesar dengan prosesupdate yangkompleks.

    Proses update direktori merupakanprosessederhana.Direktori didesain untukmemberikan respon dengan cepat untukpencariandata denganvolume besar.Direk-tori mempunyai kemampuan untuk merep-likasi/menggandakan informasi secara uasagar dapat diaksessetiap saat, nformasi didalamnya dapat dipercaya, dan waktu res-pon yang pendek. Ketika informasi dalamdirektori direplikasi, ketidakkonsistenanse-mentara antara replika adalah wajar, selamabeberapa saat kemudian mereka disinkron-kan.

    Metode yang berbeda mengizinkan ber-bagai informasi untuk disimpan dalamdirektori dan diletakkan sesuai denganketentuan (rule) yang berbeda. Misalnya,bagaimana informasi kemudian direferen-sikan, diambil, dan di-update/diperbarui,bagaimanadiproteksi dari aksesyang tidakdiizinkan, dan sebagainya.

    Servisdirektori lokal menyediakanserviske konteks yang terbatasuntuk lingkungantertentu saja (contoh, servis whois di satu

    mesin). Sedangkan servis global menye-diakan servis ke konteks yang lebih luas(contoh, ke seluruh Internet). Servis globalbiasanya terdistribusi, artinya data mere-ka tersebar luas pada banyak mesin, yangsemuanyabersama-samasaling membantuberoperasiuntuk menyediakanservisdirek-tori. Internet Domain Name System(DNS)adalah contoh dari servisdirektori terdistri-busi secaraglobal.tDAPLDAP merupakan singkatan dari Light-weight Directory AccessProtocol (ProtokolAksesDirektori Ringan). Artinya, ini adalahprotokol kelas ringan untuk mengakses er-vis direktori, yang berdasarkan pada pro-tokol servis direktori X.500. LDAP berjalanmelalui protokol TCP/P. Pendefinisian se-cara detail LDAP ada dalam RFC 225l "TheLightweight Directory AccessProtocol (v3)"dan dokumen lainnya menyatakan spesifi-kasi teknik adapada RFC 3377.

    Model informasi LDAP adalah ber-dasarkanentri. Sebuahentri adalah koleksiatribut yang mempunyai nama yang ter-bedakan (DistinguishedName/DN) secaraglobal. DN ini digunakan sebagai eferensike entri yang secaraunik berbeda dengannilai DN yang lainnya. Setiap atribut entrimempunyai sebuah tipe dengan satu nilaiatau lebih. Tipe biasanya string singkatankhusus, seperti "cn" untvk common name,atau "mail" untuk alamat e-mail.

    Sintaks dari nilai bergantung kepadatipe atribut. Contoh, atribut cn mungkinberisi kata-kata "iunus Djunawidjaja".Atribut mail mungkin berisi alamat email"[email protected]". Atribut jpegPhotomungkin terdiri sebuah foto dalam formatbinari JPEG.

    ou=peop/- 4I Oroanisation Unif I f )*a=;go(.a

    ou=bqlversC/4''..-.-....--.-'...-.'.-."'"_(-/ i Person I

    Gambar.Pohon irektori DAP

    www.infoliux.web.id TNFoLINUX7/2005 63

  • 7/22/2019 Integrasi User Account Dengan LDAP Part

    3/4

    Berita UtasanAduSoftwareUtama Bisnis ApaSihSebenarnya...Tutoriat

    Dalam LDAP. entri direktori disusundalam sebuahhirarki struktur sepertipohon(tree). Struktur pohon LDAP pada umum-nya saat sekarang ini berdasarkan namadomain internet. Pendekatan penamaanservis direktori mirip dengan penamaanpada DNS ini yang paling popular. Gam-bar I menunjukkan sebuah contoh pohondirektori LDAP menggunakan penamaanberdasarkandomain.

    Selain secara struktur pohon denganpenamaan internet, juga dapat berupastruktur pohon dengan cara penamaantradisional. Struktur ini merefleksikan geo-grafis atau lingkup organisasi. Entri-entrimewakili negara-negara, erlihat di atasdaripohon (tree). Di bawah mereka adalah entriyang menyatakan provinsi dan organisasinasional. Di bawah nya lagi mungkin entriyang menyatakan unit organisasi, orang,printer, dokumen, dan lain-lain.

    LDAP dapat mengontrol atribut-atributyang diperlukan dan diizinkan dalam sebuahentri, melalui penggunaan atribut spesialyang dinamakan objectClass.Angka-angkadari atribut objectClassmenyatakan aturan(rule) schemayang ditaati oleh entri.

    Sebuahentri direferensioleh nama yangberbeda dari yang lain, yang dibentuk darinama entri itu sendiri. Ini dinamakan namarelatif yang membedakan (Relative Disti-nguished Name/RDN) dan menggabung-kan nama-nama dari entri-entri di atasnyaatau sebelumnya. Sebagi contoh, entri un-tuk "Junus Djunawidjaja" pada penamaanberdasarkan Internet contoh di atas mem-punyai RDN: uid=junusd dan DN dariuld=junusd, ou=People,dc=dynre,dc=com.

    Operasi update yang ada, seperti untukmenambah dan menghapus sebuah entridari direktori, adalah mengubah entri yangada dan mengubah nama dari sebuah en-tri. Sebagianbesar waktu LDAP digunakanuntuk operasi mencari informasi dalam di-rektori (query). Operasi pencarian LDAPmemungkinkan beberapabagian dari direk-tori untuk mencari entri-entri yangsamade-ngan beberapakriteria yang dispesifikasikanoleh filter search.

    Sebagaicontoh operasi pencarian (que-ry):o Mencari cabang dari direktori di bawahdc=dynre, dc=com untuk orang-orangdengan nama "funus", lalu memanggil

    64 INFOLIIIIUX7/?:oo5

    alamat kantor dari setiap entri yang dite-mukan.

    o Atau juga dimungkinkan untuk mencarientri secarakeseluruhan di bawah entriou=Group untuk organisasiyang mem-punyai kelompok Group="admin", lalumenampilkan semua anggota group didalamnya.

    Cara eria DAPSecara teknis, LDAP adalah sebuah pro-tokol untuk mengakseske servis direktoriX.500, yang merupakan direktori servisyang diatur oleh OSL Awalnya, clientLDAP mengaksesgateway ke servis direk-tori X.500. Gateway ni menjalankan LDAPdi antara client dan gateway, dan men-jalankan Protokol Akses Direktori (Direc-tory Access Protocol/DAP) X.500 antaragatewaydan X.500 server. DAP adalah se-buah protokol kelas berat yang beroperasimelalui tumpukan protokol OSI secarapenuh dan memerlukan pemrosesan yangsangat signifikan dari sumber daya kom-putasi. LDAP didesain untuk beroperasimelalui TCP/IP dan menyediakan sebagianbesar dari fungsi DAP dengan biaya yangsangat ebih rendah.

    Service direktori LDAP berdasarkanmodel client-server. Satu atau lebih serverLDAP membentuk pohon (tree) direktoriinformasi. Client terkoneksi ke server danmengajukan pertanyaan. Server merespondengan jawaban dan/atau dengan pointer,ke arah mana client dapat mendapat tamba-han informasi (khususnya ke server LDAPyang lain). Gambar 2 menunjukkan proseskoneksi dari client ke server LDAP pertamadan server LDAP kedua yang ditunjuk olehserver LDAP pertama.

    Tidak masalah pada server LDAP yangmana seorang client akan terkoneksi. Cli-ent tersebut akan mendapat informasi yangsama dari server direktori berupa sebuahnama yang direpresentasikanke satu LDAPserver sebagai entri referensi yang akanmenunjuk ke server LDAP lainnya. Ini cirikhas penting bagi servis direktori global se-perti LDAP.

    Servisdirektori LDAP menyediakanpro-teksi keamanan,yang dapat diset pada saatorang akan melihat informasi diharuskanuntuk melewati proses authentifrkasi atauIogin terlebih dahulu. Sehinggaorang yang

    Gambar . Proses oneksi ariclientke seruer DAP ertama an

    tidak terautentifikasi identitasnya, tidakberhak untuk melihatnya.IDAP ervetadaingkungannixdan inuxPada lingkungan sistem operasi Unix danLinux terdapat berbagai macam LDAP ser-ver misalnya:a IBM Directory Server dan Sun One Di-

    rectory Server sebagai contoh produkproprietary atau idak free.O University of Michigan LDAP serverdan OpenLDAP server sebagai contohproduk yang free.Kita akan membahaspenggunaanOpen-

    LDAP server.karena software ni telah men-jadi LDAP server standar pada berbagaidistribusi Linux besar seperti Red Hat,SUSE, Mandrake, maupun Debian. Open-LDAP serverdibuat berdasarkanpada versiterakhir dari University of Michigan LDAPServer.

    OpenLDAP mempunyai daemon slapddan slurpd. Daemon slapd yang berdirisendiri dapat dilihat sebagai sebuah ser-vis direktori X.500 kelas ringan. Ini tidakmengimplementasi Protokol AksesDirekto-ri kelasberat X.500. Sebagaidirektori serverkelas ringan, slapd hanya mengimplemen-tasi sebagian ecil dari model X.500. Sedang-kan daemon slurpd digunakan mereplikasiinformasi direktori dari daemon slapd.Client tidak dapat meng-update informasidirektori yang ada pada slurpd secara ang-sung. slurpd akan mereferensi ke slapd ikaada permintaan untuk update informasi.Guna dari replikasi direktori menggunakanslurpd untuk memperingan beban padadaemon utama slapd, serta untuk redudansipada saat slapd tidak berjalan. Jadi, mesin-mesin client akan tetap dapat mengaksesinformasi direktori melalui slurpd.

    Pembahasandi atas merupakan penjela-san prinsip dasar LDAP secaragaris besarsehingga diharapkan pembaca awam akanmudah untuk memahaminya. |ika pembaca

    www.infotinux.web.id

  • 7/22/2019 Integrasi User Account Dengan LDAP Part

    4/4

    AduSoftwareUtamaBisnisApaSihSebenarnya...Tutoriat

    mendapat nformasi lebih detail dapatOpenLDAP User Guide di (www.

    enggunaanpen[DAPformat LDIF berisi strukturIni merupakan file input stan-

    pada utility-utility ldap client sepertidan ldapadd. File format LDIF ini

    dibuat menggunakan sembarang ext(misalnya: vi, pico, dan emacs). Sa-

    arang pengguna membuatnya dengansecara nteraktif ke

    ldap client, karena banyaknya teksdiketikkan.

    Berikut ini contoh file format LDIFaccount user

    dengan base dn:Ranting-ranting uta-data kelompok People dan

    Dalam ranting kelompok Peopleberisi data usernamedan group"junusd". Di sini untuk mem-

    file LDIF, hanya diberi-dua data kelompok People dan

    saja. Server direktori sebenarnyadata kelompok: Aliases, Hosts,

    Netgroup, Networks, Protocols,an sebagainya.

    ss : topd o m a i n

    ass : domai Re ' l t ed0b iec ty n r e . c o m

    n o u = P e o p l e , d c = d y n r e , d c = c o m

    o u : P e o p l eobJectC ' lss : topob jec tC ass : o rgan ' ia t i ona ' l n tob jec tC ' l ss : domai Rel tedObiectassoc i tedDona indynre .condn : ou=Group ,dc=dynre ,dc=comou: Groupob jec tC l ss : to pob jec tC l ss o rgan ' i a t i o n a Un i tob jec tC l ss : doma inRe lted0b iec tassoc ia tedDomaindYnre .com6n. qn= junusd ,ou=Group ,dc=dynre ,dc=comobJec tC l ss pos ixGroupob jec tC l ss : topc n : J u n u s duserPassv {o rd :c r y P t } xg i d N u m b e r : 5 0 0dn u id - junusd ,ou=Peop l,dc=dyne ,dc=comu i d : j u n u s dc n : j u n u s ds n : j u n u s dn a i : j unusd@dynre .comob jec tC l ss : pe rsonob jec tC l ss :o rgan i a t i ona lPersonob jec tC l ss : i n e t o r g P e r so nob jec tC l ss pos ixAccoun tob jec tC ' l ss : t opob jec tC ass : shadowAccoun tuserPassword :c ryp t }$1$ . rz j l d0$j unusdpAQoLDUtZef307 bAshadowLas tChange :2 8 0 3

    shadowMax : 9999s h a d o w W a r n i n g : 7l o g i n S h e l l : / b i n / b a s hu i d N u n b e r : 5 0 0g i d N u m b e r : 5 0 0homeDiec tory : / home/ iunusd

    Simpan file di atas dengan nama dynre.ldif. Lalu tambahkan file ini ke dalam LDAPdatabasedenganperintah:

    # s l a p a d d - l d y n r e . ' ld i fKemudian untuk mencek apakah data

    LDAP telah dimasukkan dengan benar, ke-tik perintah:

    # s a p c a t

    Cara menampilkan data LDAP ini dapatmenggunakan utility LDAP client yang ber-basis grafis, sehingga lebih mudah untukdilihat dan dimengerti. Gambar 4 menun-jukkan data LDAP dapat dilihat menggu-nakan contoh utility LDAP client, |Xplorer.

    Artikel berikutnya akanmenjelaskancaramen-setting OpenLDAP server dan meng-hubungkannya sebagai servis autentifikasipada mesin client, caramenghubungkannyadengan mail server,web seryer,serta servis-servis umum lainnya. Ditambah dengancara administrasi data username yang adapadaLDAP server.

    Artikel bagian ketiga akan menjelaskancara men-setting Samba versi 3 denganmenggunakan LDAP sebagai servis infor-masi direktori, serta cara-caraadministrasi-nya yang lebih mendalam.0f unus Djunawidjaja ([email protected]

    dGitrR l. te&jcctN