Autentikasi di Linux

User Account Pada Linux, ketika login dua informasi yang harus tersedia untuk autentikasi user :  Account Information : berupa UID,GID, Default Shell,dll /etc/passwd Root:x:0:0:root:/root:/bin/bash  Authentication Information: password. /etc/shadow root:$1$kZZNKr0/$.p/Eg3z6s4B7v9qX5oCT9/:13542:0:99999:7::: Butuh library khusus untuk mengontrolnya : libc

User Authentication Ada beberapa kelemahan menggunakan autentikasi lokal :  User yang bisa mengambil /etc/passwd dan /etc/shadow, dengan tools tertentu bisa mendapat seluruh password yang ada  Jika kita sering berganti aplikasi dan setiap aplikasi butuh autentikasi, berapa password yang harus dihapal Perlu dilakukan pemusatan autentikasi untuk pengamanan dan pemanfaatannya untuk berbagai aplikasi. Ada beberapa protokol yang biasa digunakan untuk otentikasi remote : LDAP, Kerberos, NIS dan SMB

Direktory Service Pada sistem otentikasi terpusat, diperlukan sebuah sistem yang khusus menyimpan informasi login dan servis, beserta atribut tambahan seperti group dan lain sebagainya. Sistem tersebut biasanya rnemanfaatkan directory service. Beberap Direktori Service yang ada :  NDS, milik Novel  Active Directory, milik Microsoft  OpenLDAP, untuk linux Directory service merupakan database system sederhana yang menekankan pada layanan direktori dengan menyimpan berbagai informasi sesuai dengan servis yang didukung.

LDAP LDAP, Lightweigh Directory Access Protocol merupakan protokol kelas ringan untuk akses pada directory service. Bisa digunakan untuk menyimpan informasi login sistem user ke LDAP server : user, samba, jabber, squid, database,dsb Semua servis tersebut umumnya mendefinisikan apa yang diperlukan ke dalam sebuah atau lebih skema.  Sebagai contoh, skema untuk login ke sistem akan membutuhkan username, password, uid, gid, shell, dan lain sebagainya. Setiap service umumnya mempunyai skema berbeda. Namun hampir sebagian besar service, kita dapat mempergunakan skema LDAP yang telah tersedia Dengan pendekatan seperti ini, user hanya perlu mengingat satu user dan satu password untuk masuk ke semua service. Biasa disebut Single sign on.

LDAP Untuk mengantisipasi kemacetan sistem disiapkan mekanisme replikasi LDAP Server Membutuhkan paket openldap2, yang berisi :  Ldap  replication daemon  skema-skema OpenLDAP menyimpan semua konfigurasinya ke dalam /etc/openldap. Terdapat dua file utama :  ldap.conf  Konfigurasi global /umum untuk seluruh client  slapd.conf  Konfigurasi Server

Konfigurasi LDAP Langkah Konfigurasi pada LDAP server  Menentukan data yang akan disimpan  Menentukan Suffix, Directory dan rootdn  Menentukan access control list Langkah konfigurasi pada LDAP client  Menentukan lokasi LDAP server  Menentukan Base Pencarian dari client

Konfigurasi LDAP… Melakukan entry data dengan menggunakan LDIF (LDAP Data Interchange Format)‏  Menggunakan format data yang sederhana dan telah ditentukan  Menggunakan struktur atau tipe data yang telah ditentukan pada skema

Konfigurasi LDAP… Operasi yang dapat dilakukan LDAP  Hubungan ke direktori dan autotentifikasi Open, Bind, UnBind  Operasi perubahan pada direktori Add, Modify, Delete  Operasi Pencarian BaseDn, search Scope, filter

Konfigurasi LDAP… Menentukan skema hierarki penyimpanan informasi Contoh skema: attributeType ( NAME ( ’kodeMahasiswa’ ’nip’ ’npm’ )‏ EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX {11} SINGLE-VALUE )‏ objectclass ( NAME ’uiEduAccount’ DESC ’UI.EDU Account’ MUST ( npm $ jabatan )‏ MAY ( hasAccessTo ) )‏

Samba Samba adalah aplikasi yang memanfaatkan SMB (Service Message Block). adalah protokol yang digunakan oleh banyak sistem operasi yang berjalan di PC untuk berbagi file dan sumber daya. awalnya samba di desain hanya untuk menghubungkan sistem UNIX dengan DOS/Windows, namun dalam pengembangannya mengalami perluasan, hingga mampu menjalankan fungsi Primary Domain Controller

Feature Samba Saat ini pengembangan Samba dipecah menjadi 2 : Samba, yang dikomandani oleh Andrew Tridgell  Memberikan otentikasi untuk NT, Win98, Win2K didalam satu database password.  Memberikan hak administrator terhadap beberapa host NT dan WIN2K workstation  Menjalankan skrip login pada saat seorang user login ke dalam jaringan  Memberikan otentikasi terhadap pengguna yang menggunakan sistem lain dengan pam_smb. Samba TNG (The New Generation)  Domain Logons  Primary Domain Controller untuk NT/Win2K  Back Up Domain Controller untuk NT/Win2K  Anggota dari domain NT yang sudah ada  Layanan basis NT (seperti service control, dan update registri jarak jauh) Memungkinkan pengambilan user dan password dari Domain Windows

Feature Samba Bisa digabungkan dengan LDAP untuk autentikasi ~]# vim /etc/samba/smb.conf smb.conf [global] workgroup = SMARTBEE netbios name = LDAP

NIS NIS, Network Information Service merupakan layanan yang berfungsi untuk menyediakan informasi lewat jaringan yaitu informasi user name, password, home directory Awalnya dikenal dengan Sun Yellow Pages (YP), berhubung nama Yellow Pages telah dipakai oleh British Telecom maka nama itu tidak diizinkan lagi untuk dipakai Paket yang dibutuhkan : ypserv

NIS Layanan NIS bekerja berbasiskan panggilan RPC (Remote Procedure Call) yaitu panggilan yang dilakukan oleh klien NIS kepada server NIS. Untuk membuat RPC ini kita harus menjalankan program yang dinamakan portmapper (portmap) yang bertugas untuk mengkonversi nomor-nomor dalam program RPC ke dalam nomor-nomor port dalam protokol TCP/IP (atau UDP/IP). Ketika server RPC (server NIS) sudah diaktifkan, ia akan meminta portmap untuk membuka nomor port tertentu dan nomor program RPC berapa yang siap untuk melayani panggilan RPC dari klien. Jadi apabila komputer klien melakukan panggilan RPC untuk meminta nomor program, ia harus terlebih dahulu melakukan hubungan dengan portmap pada server RPC untuk mengetahui nomor port berapa paket RPC harus dikirimkan. Nah, untuk dapat melakukan komunikasi berbasis RPC ini setting waktu antara server dan klien harus disinkronisasi terlebih dahulu lewat time service.

NIS dan NFS Penggunaan NIS biasanya dipadukan dengan layanan NFS NFS merupakan layanan untuk menyediakan suatu sistem file komputer remote pada komputer lokal sebagaimana layaknya seperti sistem file komputer lokal itu sendiri. Sama seperti NIS, NFS dapat bekerja karena adanya portmapper (portmap) sehingga program ini harus terinstall di server NFS dan juga klien. Server akan memberikan sistem file/direktori mana yang akan dipakai oleh klien diatur di satu file yaitu /etc/export.

Kerberos Protocol yang dirancang untuk menyediakan strong authentication untuk aplikasi client/server menggunakan kombinasi secret key dan public key cryptography Menggunakan sebuah server pusat (yang disebut trusted server) yang bertindak sebagai sebuah pihak ketiga yang dipercaya (trusted) untuk meng-otentifikasi user dan mengendalikan akses terhadap sumber daya jaringan

Konsep Dasar Kerberos Dasar pengembangan Kerberos :  Tidak mungkin menjamin keamanan seluruh server yang ada di dalam jaringan  Konsep ini mengasumsikan bahwa pembobolan server tidak dapat dihindarkan di dalam suatu lingkungan distributed computing yang terdiri dari beberapa server  Tidak mungkin mengamankan semua server Akan lebih aman untuk mengendalikan seluruh akses jaringan melalui satu buah server yang aman

Kerberos (Tickets)‏ Pertukaran kunci Kerberos sangat sederhana tetapi sangat impressive Kerberos tidak pernah mentransmisikan passwords di dalam jaringan, terlepas dari apakah password sudah dienkripsi atau tidak Kerberos menggunakan kunci cryptographic yang disebut "tickets“ untuk mengendalikan akses terhadap sumber daya server jaringan  Tickets merupakan encrypted passes atau encrypted files yang dikeluarkan oleh "trusted" server kepada user dan proses untuk menentukan access level  Ada enam tipe tickets: initial, invalid, preauthenticated, renewable, forwardable, dan postdated

Pertukaran Kunci Kerberos… Client mengirimkan permintaan (request) untuk melakukan pengiriman ke server Kerberos Request diberi digital signature oleh client menggunakan private key client (digitally signed client request)‏

A B Public A Secret A Public B Secret B E=data *(Public B*SecretA)‏D=E*(PublicA*SecretB)‏ E=Data*KeyD=E*key

Pertukaran Kunci Kerberos… Client meng-enkripsi digitally signed request menggunakan public key dari server Kerberos

Pertukaran Kunci Kerberos… Client mengirimkan digitally signed and encrypted request ke server Kerberos Server Kerberos men-dekripsi request menggunakan private key-nya dan meng-otentifikasi pengirim request dengan cara mem-verifikasi digital signature pengirim menggunakan public key pengirim request  Server Kerberos memiliki database yang berisi seluruh public keys dari authorized users sehingga server Kerberos tidak perlu mengandalkan pengirim ataupun pihak ketiga untuk memverifikasi public key pengirim  Jika server Kerberos tidak memiliki public key pengirim request di dalam database-nya, maka digital signature tidak dapat diverifikasi  Demikian juga bila server Kerberos tidak memiliki public key pengirim request maka pengirim bukanlah seorang authorized user jaringan, sehingga request-nya akan ditolak

Pertukaran Kunci Kerberos… Jika server Kerberos telah menerima request dan mengotentifikasi identitas pengirim request, maka server memverifikasi bahwa client memiliki otorisasi untuk mengakses sumber daya jaringan yang diminta Jika Kerberos telah menentukan bahwa client memiliki otoritas untuk mengakses server payroll, maka server Kerberos akan mengirimkan session ticket yang sama baik kepada client maupun ke server payroll Untuk mengirimkan session ticket kepada client, server Kerberos meng-enkripsi-nya menggunakan public key dari cleint Untuk mengirimkan session ticket ke server payroll, server Kerberos menggunakan public key server payroll Ketika menerima encrypted session ticket, baik client maupun server payroll akan mendekripsi-nya menggunakan private keys masing-masing Session ticket bisa di-tandatangani pula oleh server Kerberos untuk mencegah adanya ticket palsu yang dikirimkan ke client maupun ke sumber daya jaringan

Pertukaran Kunci Kerberos… Client kemudian mengirimkan copy dari ticket-nya ke server payroll Sebelum mengirimkan ticket, client mengenkripsi ticket menggunakan public key server payroll

Pertukaran Kunci Kerberos… Ketika menerima ticket yang di-enkripsi dari client, server akan mendekripsi ticket menggunakan private key server Server payroll kemudian membandingkan ticket yang diterima dari client dengan ticket yang berasal dari server Kerberosserver  Jika ticket sesuai (match) maka client akan diperbolehkan untuk terhubung ke server  Jika ticket tidak sesuai maka client akan ditolak Setelah koneksi terbentuk, sistem dapat meng-enkripsi komunikasi menggunakan session key atau public key dari client atau tidak menggunakan enkripsi sama sekali

/etc/pam.d /etc/pam.conf /lib/security  Pam_ldap.so  Pam_unix.so /etc/security Libc  Name Service  Name Service Switch PAM (Puggale Authentication Modules )‏ LDAP KERBEROS SSHLOGINAPACHE