sso jurna

6

BAB II

SINGLE SIGN-ON, KERBEROS DAN LDAP

Bab ini membahas pengenalan sistem Single Sign-On dan penggunaan

OpenAM sebagai sistem Single Sign-On berbasis direktori dengan Kerberos dan

OpenLDAP sebagai otentikasi dan otorisasi penggunanya.

2.1 Teknologi Single Sign-On

Teknologi Single Sign-On (sering disingkat menjadi SSO) adalah sistem yang

mengizinkan pengguna agar dapat mengakses seluruh sumber daya dalam jaringan

hanya dengan menggunakan satu credential saja. Sistem ini tidak memerlukan

interaksi yang manual, sehingga memungkinkan pengguna melakukan proses sekali

login untuk mengakses seluruh layanan aplikasi tanpa berulang kali mengetikan

password-nya. Teknologi ini sangat diminati dalam jaringan yang sangat besar dan

bersifat heterogen, dimana sistem operasi serta aplikasi yang digunakan berasal dari

banyak vendor, dan pengguna diminta untuk mengisi informasi dirinya ke dalam

setiap multi-platform yang hendak diakses.

Sistem Single Sign-On menghindari login ganda dengan cara

mengidentifikasi subjek secara ketat dan memperkenankan informasi otentikasi

untuk digunakan dalam sistem atau kelompok sistem yang terpercaya. Sistem SSO

dapat meningkatkan kegunaan jaringan secara keseluruhan dan pada saat yang sama

dapat memusatkan pengelolaan dari parameter sistem yang relevan.

Universitas Sumatera Utara

7

Pengguna layanan dapat lebih menyukai sistem Single Sign-On dari pada

sistem sign-on biasa, namun pengelola layanan jaringan memiliki banyak tugas

tambahan yang harus dilakukan, seperti perlunya perhatian ekstra untuk menjamin

bukti-bukti otentikasi agar tidak tersebar dan tidak disadap pihak lain ketika

melintasi jaringan. Secara umum gambaran perbedaan sistem Single Sign-On dan

sistem sign-on dapat dilihat pada Gambar 2.1.

Gambar 2.1 (a) Gambaran Sistem Sign-On dan (b) Gambaran Sistem Single Sign-On


8

Beberapa arsitektur dari sistem SSO telah muncul, masing-masing dengan

berbagai keunggulan dan infrastruktur yang berbeda. Pada umumnya sistem SSO

memiliki beberapa keuntungan, antara lain :

1. Pengguna tidak perlu mengingat banyak username dan password.

Cukup dengan satu credential, sehingga pengguna cukup melakukan proses

otentikasi sekali saja untuk mendapatkan izin akses terhadap semua layanan

aplikasi yang tersedia di dalam jaringan.

2. Kemudahan pemrosesan data.

Jika setiap layanan aplikasi memiliki data pengguna masing-masing, maka

pemrosesan data pengguna (penambahan, pengurangan, perubahan) harus

dilakukan pada setiap aplikasi yang ada. Sedangkan dengan menggunakan

sistem SSO, cukup hanya melakukan sekali pemrosesan pada server database

backend-nya. Hal ini menyatakan bahwa penggunaan sistem SSO

meningkatkan efisiensi waktu dan kepraktisan dalam memproses data.

3. Tidak perlu membuat data pengguna yang sama di setiap aplikasi

Karena setiap layanan aplikasi dalam jaringan dapat terhubung langsung

dengan server database backend ini, maka hanya dengan sekali saja meng-

input data kedalam database, credential pengguna akan valid di seluruh

layanan aplikasi.

4. Menghemat biaya untuk pemeliharaan password.

Ketika harus me-reset password karena pengguna lupa pada password-nya,

pengelola layanan tidak perlu menghabiskan waktu dan bandwith untuk

menemukan data credential pengguna.


9

Selain mendatangkan manfaat, sistem SSO juga dapat mendatangkan

kerugian, antara lain:

1. Pentingnya kesadaran pengguna untuk merahasiakan data credential dan

menjaga keadaan login-nya. Bila masih dalam keadaan login, pengguna yang

tidak sah dapat memakai mesin yang ditinggalkan pengguna sahnya.

2. Kerumitan mengimplementasikan sistem SSO kedalam sebuah jaringan yang

heterogen dan multiplatform, sehingga banyak pengelola layanan jaringan

kurang begitu giat dalam mengimplementasikannya.

3. Kelemahan dalam hal keamanan. Jika password sistem pengelola layanan

jaringan diketahui oleh orang yang tidak berhak, maka orang tersebut dapat

melakukan perubahan terhadap semua data yang ada didalam sistem.

4. Titik Kegagalan Tunggal (Single point failure). Karena setiap layanan aplikasi

bergantung kepada sistem Single Sign-On, sistem ini dapat menjadi suatu titik

kegagalan bila tidak dirancang dengan baik. Kondisi apapun yang dapat

menyebabkan sistem SSO padam, mengakibatkan pengguna tidak dapat

mengakses seluruh layanan aplikasi yang dilindungi oleh sistem SSO

tersebut.

2.1.1 Pendekatan Sistem Single Sign-On

Secara umum SSO diimplementasikan sebagai sebuah model otentikasi yang

independen yang mana seluruh aplikasinya menggunakan modul otentikasi berbasis

SSO untuk mengesahkan pengguna. Ketika pengelola layanan memilih untuk


10

mengaplikasikan sistem SSO, maka dapat dipilih salah satu dari tiga pendekatan SSO

berikut:

1. Pendekatan Terpusat (Centralized Approaches)

Pendekatan ini mempunyai sebuah lokasi yang terpusat dimana seluruh

identifikasi disimpan. Server SSO bertindak sebagai perantara untuk

mendistribusikan identifikasi ketika dibutuhkan dan sampai pada otentikasi /

otorisasi pengguna jika diperlukan. Biasanya hal ini membutuhkan pergantian

aplikasi untuk mengintegrasikan dengan server SSO. Teknologi pada Microsoft’s

.NET Passport menggunakan pendekatan ini.

2. Pendekatan Distribusi (Distributed Approaches)

Pendekatan ini mengijinkan kumpulan pernyataan identifikasi yang

dilokalisasikan dari tiap-tiap aplikasi dengan diteruskan menggunakan komponen

client-based (berbasis klien). Oleh karena itu pengguna memiliki kendali penuh

terhadap komponen klien dan profil/password disinkronkan ke pusat server. Satu

dari keuntungan pendekatan ini adalah bahwa jika seorang penyerang (attacker)

mendapatkan akses informasi dari sistem, dia hanya akan menemukan akses ke

informasi dari database yang sedang berjalan dari sistem tersebut.

3. Pendekatan Federasi (Federation Approches)

Pendekatan ini menyediakan identifikasi terpusat dan layanan manajemen

otentikasi yang sejalan dengan kumpulan pernyataan identifikasi yang

dilokalisasikan. Hampir seluruh dari produk dan arsitektur SSO yang sekarang

berdasarkan pada model ini. Pendekatan ini menyediakan manfaat yang paling


11

besar dari kedua pendekatan terpusat dan distribusi.

Model yang dari sistem SSO yang digunakan berdasarkan pada pendekatan

federasi, dan pendekatan ini menggunakan konsep cookie untuk aplikasi berbasis

web. Karakteristik cookie memperbolehkan web server untuk mengendalikan

pengguna mereka (web browser) secara lengkap. Pendekatan dari sistem SSO

berbasis konsep cookie dapat ditunjukkan pada Gambar 2.2.

Gambar 2.2 Pendekatan sistem SSO Berbasis Konsep Cookie

2.1.2 Arsitektur Sistem Single Sign-On

Solusi sistem SSO didasarkan pada salah satu dari dua tingkat pendekatan,

yaitu pendekatan script dan pendekatan agent. Pendekatan agent lebih digunakan

dalam Tugas Akhir ini karena dianggap lebih cocok untuk layanan aplikasi berbasis


12

web atau dikenal juga sebagai service provider (SP). Gambar 2.3 menunjukkan

pembagian dari pendekatan sistem SSO.

Gambar 2.3 Pendekatan Sistem SSO

Agent merupakan sebuah program kecil yang berjalan pada tiap-tiap web

server. Agent ini membantu mengkoordinir aliran kerja dari sistem SSO dalam hal

otentikasi pengguna dan penanganan sesi. Solusi dari arsitektur sistem SSO

ditunjukkan oleh Gambar 2.4.

Gambar 2.4 Arsitektur Sistem SSO


13

Arsitektur Sistem SSO memiliki dua bagian utama, yaitu agent yang berada

di web server /Layanan aplikasi dan sebuah server SSO berdedikasi yang mana akan

dijelaskan berikut ini:

Agent: Sebuah agent akan menterjemahkan setiap permintaan HTTP yang

masuk ke web server. Hanya ada satu agent di tiap-tiap web server, yang mana

host bagi layanan aplikasi. Agent tersebut akan berinteraksi dengan web

browser pada sisi pengguna, dan dengan server SSO pada sisi layanan aplikasi.

SSO server: Server SSO menggunakan cookies temporer (sementara) untuk

menyediakan fungsi manajemen sesi. Sebuah cookies terdiri dari informasi

seperti user-id, session-id, session creation time, session expiration time dan

lain-lain.

Produk-produk sistem SSO yang berbasis open source yang umum digunakan

saat ini seperti CAS (Central Authentication Service), OpenAM (Open Access

Manager), dan JOSSO (Java Open Single Sign-On).

2.1.3 OpenAM (Open Access Manager)

OpenAM adalah produk sistem SSO yang berbasis open source, merupakan

infrastruktur yang mendukung layanan berbasis identitas dan implementasi solusi

dari Single Sign-on (SSO) transparan sebagai komponen keamanan dalam

infrastruktur jaringan. OpenAM ini berbasis pada solusi Identity Management yang

dikembangkan oleh Sun Microsystems, Inc. Tujuan dari OpenAM adalah untuk

memberikan landasan yang luas sebagai infrastruktur pelayanan identitas dalam


14

ranah publik dan untuk memfasilitasi sistem Single Sign-On untuk layanan aplikasi

web dalam server.

Keunggulan OpenAM dibandingkan produk SSO lainnya terletak pada

Agent yang dapat ditempatkan ke berbagai aplikasi server seperti Apache, Sun Java

System Web Server, Microsoft IIS, dan Domino. Konfigurasinya dapat dilakukan

dengan menulis otentikasi modul yang dilengkapi dengan keamanan layanan web

menggunakan SAML (Security Assertion Markup Language). OpenAM merupakan

pilihan yang tepat jika dibutuhkan dukungan terhadap lingkungan yang terpisah dan

memerlukan otentikasi menggunakan SSL (Secure Socket Layer).

OpenAM bekerja seperti gerbang utama pada sistem Single Sign-On, karena

terhubung langsung dengan pengguna dan seluruh aplikasi yang ada dalam jaringan.

OpenAM bekerja sama dengan aplikasi backend melakukan proses otentikasi dan

otorisasi berdasarkan database credential pengguna. Beberapa tipe aplikasi yang

sering dijadikan Backend database pada jaringan dengan OpenAM antara lain seperti

Kerberos, Active Directory, LDAP, OpenDS, NIS, dan MySql.

2.2 Kerberos

Kerberos adalah sebuah protokol sistem otentikasi yang dikembangkan dari

Proyek Athena di MIT. Ketika pengguna login, Kerberos mengotentikasi pengguna

tersebut (menggunakan kunci acak), dan memberikan pengguna suatu cara untuk

membuktikan identitasnya ke server dan host lain yang tersebar di jaringan.

Otentikasi ini kemudian digunakan oleh aplikasi seperti OpenAM untuk mengizinkan

pengguna login ke aplikasi lain tanpa password. Otentikasi yang digunakan oleh


15

Kerberos menjamin bahwa data dikirimkan kepada orang yang tepat, dan juga

menjamin bahwa pengirim adalah benar orang yang diklaimnya.

Kerberos pertama kali dikembangkan pada dekade 1980-an sebagai sebuah

metode untuk melakukan otentikasi terhadap pengguna dalam sebuah jaringan yang

besar dan terdistribusi. Protokol ini dinamai Kerberos, diangkat dari nama Cerberus

yang merupakan seekor anjing berkepala tiga (protokol Kerberos memiliki tiga

subprotokol) dalam mitologi Yunani yang menjadi penjaga Tartarus, gerbang menuju

alam kematian Hades (atau Pluto dalam mitologi Romawi).

Efek keseluruhan menginstalasi Kerberos dan berbagai program bersamanya

adalah secara virtual menghilangkan kemampuan pengguna untuk menipu (spoof)

sistem agar mempercayai bahwa mereka adalah orang lain.

2.2.1 Protokol Kerberos

Protokol Kerberos dibangun berdasarkan kriptografi kunci simetris dari

protokol Needham-Schroeder, dan dalam penggunaannya membutuhkan layanan dari

pusat distribusi kunci (Key Distribution Center atau KDC). KDC merupakan pihak

ketiga yang terpercaya dan terdiri dari dua bagian yang terpisah, yaitu AS

(Authentication Service) dan TGS (Ticket-Granting Service).

KDC menyimpan database kunci rahasia setiap entitas pada jaringan, baik

pengguna maupun server. Kunci rahasia ini berfungsi untuk membuktikan identitas

entitas dan hanya diketahui oleh pembuatnya sendiri dan KDC. Untuk komunikasi

antara dua entitas, KDC menghasilkan kunci sesi yang dapat mereka gunakan untuk

mengamankan interaksi mereka. Kunci sesi ini akan diproses bersamaan dengan tiket


http://en.wikipedia.org/wiki/Key_distribution_center

16

kerberos sebagai otentikasi pengguna. Protokol kerberos sangat bergantung pada

kemampuan tiap peserta menyerempakkan waktunya pada server KDC karena tiket

Kerberos memiliki waktu hidup yang sangat singkat.

Agar dapat melakukan aksinya Kerberos memiliki tiga subprotokol, protokol

tersebut antara lain:

Authentication Service (AS) Exchange yang digunakan oleh Key Distribution

Center (KDC) untuk menyediakan Ticket-Granting Ticket (TGT) kepada

pengguna dan membuat kunci sesi logon.

Ticket-Granting Service (TGS) Exchange yang digunakan oleh KDC untuk

mendistribusikan kunci sesi layanan dan tiket yang diasosiasikan dengannya.

Client/Server (CS) Exchange yang digunakan oleh pengguna untuk

mengirimkan sebuah tiket sebagai pendaftaran kepada sebuah layanan.

2.2.2 Cara Kerja Kerberos

Adapun cara kerja Kerberos adalah sebagai berikut :

1. Komputer pengguna Kerberos akan mengirimkan sebuah permintaan terhadap

server KDC untuk mengakses TGS dengan menggunakan protokol AS

Exchange. Dalam permintaan tersebut terdapat bukti identitas pengguna dalam

bentuk terenkripsi menggunakan kunci rahasia pengguna.

2. KDC kemudian menerima permintaan dari pengguna Kerberos, lalu mencari

kunci utama (disebut sebagai Master Key) yang dimiliki oleh pengguna dalam

layanan direktori Active Directory (dalam Windows 2000/Windows Server 2003


17

atau layanan direktori lainnya seperti LDAP) untuk selanjutnya melakukan

dekripsi terhadap informasi identitas yang terdapat dalam permintaan yang

dikirimkan. Jika identitas pengguna berhasil diverifikasi, KDC akan

meresponnya dengan memberikan TGT dan sebuah kunci sesi untuk mengakses

TGS dengan menggunakan protokol AS Exchange.

3. Pengguna selanjutnya mengirimkan permintaan yang terenkripsi dengan kunci

sesi ini kepada KDC, permintaan itu mengandung TGT yang sebelumnya

diterima dari KDC, dan identifier akses terhadap layanan aplikasi server target

dengan menggunakan protokol TGS Exchange.

4. KDC selanjutnya menerima permintaan, melakukan otentikasi terhadap layanan,

dan meresponsnya dengan memberikan sebuah tiket dan kunci sesi untuk

mengakses server target kepada pengguna dengan menggunakan protokol TGS

Exchange.

5. Pengguna selanjutnya mengirimkan permintaan terhadap server target yang

mengandung tiket yang didapatkan sebelumnya dengan menggunakan protokol

CS Exchange. Server target kemudian melakukan otentikasi terhadap tiket yang

bersangkutan, membalasnya dengan sebuah kunci sesi, dan pengguna pun

akhirnya dapat mengakses layanan yang tersedia dalam server.

Meski terlihat rumit, pekerjaan ini dilakukan di balik layar sehingga tidak

terlihat oleh pengguna. Sesi otentikasi Kerberos yang dilakukan antara pengguna dan

server dapat dilihat seperti Gambar 2.5.


18

Gambar 2.5 Sesi Otentikasi Kerberos

2.3 LDAP (Light Weight Directory Access Protocol)

LDAP (Light Weight Directory Access Protocol) adalah sebuah protokol yang

mengatur mekanisme pengaksesan layanan direktori (Directory Service), yang dapat

digunakan untuk mendeskripsikan banyak informasi seperti informasi tentang

people, organizations, roles, services dan banyak entitas lainnya. LDAP

menggunakan model client-server, dimana client mengirimkan identifier data kepada

server menggunakan protokol TCP/IP dan server mencoba mencarinya pada DIT

(Directory Information Tree) yang tersimpan di server. Bila ditemukan maka

hasilnya akan dikirimkan ke client tersebut, namun bila tidak ditemukan maka

hasilnya berupa pointer ke server lain yang menyimpan data yang dicari.

Terdapat dua layanan utama pada LDAP yaitu slapd yang merupakan LDAP

daemon dan slurpd yang merupakan replication daemon. Slapd melayani permintaan


19

dari pengguna, query dan berkomunikasi dengan database backend sedangkan slurpd

melayani replikasi data agar terus terjadi sinkronisasi data antara client dan server,

dan untuk memfasilitasi pengisian dan perubahan informasi data dalam direktori

digunakanlah LDIF (LDAP Data Interchange Format).

2.3.1 Konsep Dasar LDAP

Untuk mempelajari LDAP, sangatlah penting untuk memahami maksud dari

direktori dan apa fungsinya. Direktori dapat berupa personal address book, phone

book, yellow pages bahkan web direktori seperti Yahoo. Direktori dapat membantu

untuk menemukan informasi yang dibutuhkan, sebagai contoh yellow pages.

Di dalam yellow pages dapat dicari alamat lengkap, nomor telepon, alamat

website dan email dari suatu perusahaan hanya dengan mencarinya berdasarkan

‘nama’ dari perusahaan yang telah disusun secara alphabetis pada direktori yellow

pages. Dalam terminologi komputer, directory service bisa dikatakan sebagai suatu

database tempat penyimpanan data, yang dapat digunakan untuk memberikan

informasi-informasi yang berkaitan dengan objeknya. Bagian direktori mungkin

dapat berisi kumpulan informasi tentang pengguna seperti sure name, first name,

phone number, User ID, mail address dan lain sebagainya. Untuk memudahkan

pemahaman tentang konsep direktori ini, dijelaskan melalui model seperti Gambar

2.6.


20

Gambar 2.6 Konsep Direktori

Secara prinsip struktur database pada suatu directory service adalah hierarki

seperti yang ditunjukkan pada Gambar 2.6. Suatu directory service akan memiliki

item yang dijadikan sebagai root. Untuk sebuah titik root, secara umum ditunjukkan

dengan suatu attribut dc (Domain Component) atau o (Organization) mungkin juga

ou (Organization Unit). Kemudian pada titik daun (leaf) biasanya akan berisi item

dengan attribut uid (User ID) ataupun cn (Common Name). Directory service

biasanya menyimpan informasi dalam bentuk struktur tree yang dinamakan

Directory Information Tree (DIT). Setiap titik pada DIT diberi suatu alamat, baik

secara relatif maupun secara absolut. Untuk suatu alamat relatif sering disebut

sebagai RDN (Relative Distinguish Name) sedangkan alamat yang absolut di sebut

sebagai DN (Distinguish Name).

Jadi apabila ingin mendapatkan informasi tentang pengguna rsukmana seperti

contoh pada Gambar 2.6 diatas, dapat dituliskan hasil pencariannya dengan

“dn=uid=rsukmana,ou=people,dc=smartbee,dc=com”. Konsep seperti inilah yang


21

digunakan oleh direktori LDAP.

Ada tiga hal yang sebaiknya diketahui dalam membangun sebuah server

LDAP, yaitu:

1. Schema mendefinisikan seperangkat aturan yang mendeskripsikan jenis data apa

saja yang akan disimpan, schema sangat membantu untuk menjaga konsistensi

dan kualitas data sehingga mengurangi terjadinya duplikasi data.

2. ObjectClass merupakan sekumpulan entri yang menginformasikan jenis group,

dan membutuhkan atribut yang biasanya terdiri atas attribute names, attribute type

dan attribute syntax yang semuanya terkumpul dalam suatu data valid pada setiap

kelasnya.

3. Attribute merupakan entri yang bersifat unik seperti uid, cn, sn ,ou, o, dc dan lain

sebagainya, attribute sendiri dapat merupakan single value maupun multiple value.

Model informasi LDAP adalah berdasarkan entri. Sebuah entri adalah koleksi

atribut yang mempunyai nama yang terbedakan (Distinguished Name/DN) secara

global. DN ini digunakan sebagai referensi ke entri yang secara unik berbeda dengan

nilai DN yang lainnya. Setiap atribut entri mempunyai sebuah tipe dengan satu nilai

atau lebih. Tipe biasanya string singkatan khusus, seperti “cn” untuk common name,

atau “mail” untuk alamat e-mail. Sintaks dari nilai bergantung kepada tipe atribut.

Contoh, atribut cn mungkin berisi kata-kata “repo”. Atribut mail mungkin berisi

alamat email “[email protected]”.

Dalam LDAP entri direktori disusun dalam sebuah hirarki struktur seperti

pohon (tree). Struktur pohon LDAP saat ini pada umumnya berdasarkan nama


22

domain internet. Pendekatan penamaan layanan direktori mirip dengan penamaan

pada DNS. Gambar 2.6 menunjukkan sebuah contoh pohon direktori LDAP

menggunakan penamaan berdasarkan domain.

Selain secara struktur pohon dengan penamaan internet, terdapat juga struktur

pohon dengan cara penamaan tradisional seperti Gambar 2.7. Struktur ini

merefleksikan geografis atau lingkup organisasi. Entri-entri mewakili negara-negara,

terlihat di atas dari pohon (tree). Dibawahnya adalah entri yang menyatakan provinsi

dan organisasi nasional. Dibawahnya lagi mungkin entri yang menyatakan unit

organisasi, orang, printer, dokumen, dan lain-lain.

Gambar 2.7 Struktur Pohon Direktori Cara Penamaan Tradisional

LDAP dapat mengontrol atribut-atribut yang diperlukan dan diizinkan dalam

sebuah entri, melalui penggunaan atribut spesial yang dinamakan objectClass.

Angka-angka dari atribut objectClass menyatakan aturan (rule) skema yang ditaati

oleh entri.

Sebuah entri direferensi oleh nama yang berbeda dari yang lain, yang

dibentuk dari nama entri itu sendiri. Nama ini disebut nama relatif yang membedakan


23

(Relative Distinguished Name/RDN) dengan menggabungkan nama-nama dari entri-

entri di atasnya atau sebelumnya. Operasi update yang ada, seperti untuk menambah

dan menghapus sebuah entri dari direktori, adalah mengubah entri yang ada dengan

mengubah nama dari entri tersebut. Sebagian besar waktu LDAP digunakan untuk

operasi mencari informasi dalam direktori (query). Operasi pencarian LDAP

memungkinkan beberapa bagian dari direktori untuk mencari entri-entri yang sama

dengan beberapa kriteria yang dispesifikasikan oleh filter search.

2.3.2 Prinsip Kerja LDAP

Secara teknis, LDAP adalah sebuah protokol untuk mengakses ke layanan

direktori X.500, yang merupakan layanan direktori yang diatur oleh OSI. Awalnya,

pengguna LDAP mengakses gateway ke layanan direktori X.500. Gateway ini

menjalankan LDAP di antara client dan gateway, dan menjalankan Protokol Akses

Direktori (Directory Access Protocol/DAP) X.500 antara gateway dan X.500 server.

DAP adalah sebuah protokol kelas berat yang beroperasi melalui tumpukan protokol

OSI secara penuh dan memerlukan pemrosesan yang sangat signifikan dari sumber

daya komputasi. LDAP didesain untuk beroperasi melalui TCP/IP dan menyediakan

sebagian besar dari fungsi DAP dengan biaya yang sangat lebih rendah.

LDAP adalah protokol yang digunakan untuk mengakses direktori X.500

directory service (OSI-nya layanan direktori). Inisialisasi LDAP server merupakan

gateway antara LDAP dengan X.500 Directory Access Protokol (DAP), sedangkan

DAP merupakan protokol heavy-weight yang mengoperasikan stack protokol OSI

secara penuh, konsekuensinya tentu saja sangat menyedot resource. LDAP hadir


24

dirancang menggunakan pendekatan protokol TCP/IP dikawinkan dengan fungsi-

fungsi DAP sehingga fungsi DAP dapat dijalankan dengan lebih murah.

Dengan adanya fungsi-fungsi DAP pada LDAP, tentu saja sangat

meringankan pengaksesan X.500, tetapi tetap saja diperlukan pemakaian layanan

X.500 secara penuh untuk dapat membuat banyak data LDAP pada client. Sehingga

tetap diperlukan resource yang besar untuk memenuhi keperluan tersebut.

Service direktori LDAP berdasarkan model client-server. Satu atau lebih

server LDAP membentuk pohon (tree) direktori informasi. Client terkoneksi ke-

server dan mengajukan pertanyaan. Server merespon dengan jawaban dan / atau

dengan pointer, ke arah mana client dapat mendapat tambahan informasi (khususnya

keserver LDAP yang lain). Gambar 2.8 berikut menunjukkan proses koneksi dari

client ke server LDAP pertama dan server LDAP kedua yang ditunjuk oleh server

LDAP pertama.

Gambar 2.8 Koneksi dari Client ke Server LDAP Pertama dan Kedua

Tidak menjadi masalah pada server LDAP yang mana client akan terkoneksi.

Client tersebut akan mendapat informasi yang sama dari server direktori berupa


25

sebuah nama yang direpresentasikan ke satu LDAP server sebagai entri referensi

yang akan menunjuk ke server LDAP lainnya. Ini ciri khas penting bagi layanan

direktori global seperti LDAP.

Layanan direktori LDAP menyediakan proteksi keamanan yang dapat diatur

pada saat pengguna akan melihat suatu informasi. Ketika pengguna melewati proses

otentikasi atau login, pengguna yang tidak terotentikasi identitasnya, tidak memiliki

izin untuk melihat informasi (tidak terotorisasi), sedangkan pengguna yang telah

terotentikasi dapat melihat informasi sesuai dengan tingkatan otorisasi yang

dimilikinya.


sso jurna

Documents