LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP) DAMAR APRI SUDARMADI MITA PRAMIHAPSARI TYA MARINA
OUTLINE INTODUCTION OTENTIKASI LDAP PRINSIP KERJA LDAP KELEBIHAN DAN KEKURANGAN
INTRODUCTION LDAP adalah protokol kelas ringan untuk mengakses servis direktori, yang berdasarkan pada protokol servis direktori X.500. TCP/IP RFC 225l "The Lightweight Directory Access Protocol (v3)“ RFC 4511, RFC 4512, RFC 4513 dll. LDAP adalah sebuah protokol untuk mengakses ke servis direktori X.500, yang merupakan direktori servis yang diatur oleh OSL Awalnya, client LDAP mengakses gateway ke servis direktori X.500. Gateway ini menjalankan LDAP di antara client dan gateway, dan menjalankan Protokol Akses Direktori (Directory Access Protocol/DAP) X.500 antara gateway dan X.500 server. DAP adalah sebuah protokol kelas berat yang beroperasi melalui tumpukan protokol OSI secara penuh dan memerlukan pemrosesan yang sangat signifikan dari sumber daya komputasi. LDAP didesain untuk beroperasi melalui TCP/IP dan menyediakan sebagian besar dari fungsi DAP dengan biaya yang lebih rendah.
INTRODUCTION RFC 4511 tentang protokol dari LDAP RFC 4512 tentang Model Direktori Informasi pada LDAP. RFC 4513 tentang mekanisme otentikasi dan mekanisme keamanan dari LDAP. Ada beberapa RFC ynag secara spesifik mengatur tentang LDAP
INTRODUCTION LDAP mengakses direktori yang menawarkan cara untuk mencari, mengambil, dan memanipulasi isi dari direktori, akses tidak sah ke dalam direktori data melalui operasi pengambilan data. akses tidak sah ke dalam data direktori melalui akses monitoring lainnya. modifikasi data direktori yang tidak sah. konfigurasi modifikasi informasi yang tidak sah. Denial of Service. Spoofing. Hijacking. YANG NOMOR 2 ITU SERANGAN GA AKTIF
INTRODUCTION Otentikasi dengan cara operasi Bind. Intergritas layanan data dengan cara lepisan keamanan pada Transport Layer Security (TLS) atau mekanisme SASL. Server otentikasi dengan cara mekanisme protokol TLS atau SASL. Penggunaan server administratif yang terbatas.
OTENTIKASI LDAP operasi Bind menyediakan tiga mekanisme otentikasi, mekanisme tersebut adalah Sebuah mekanisme otentikasi anonim Sebuah mekanisme otentikasi yang tidak berkepentingan, Sebuah mekanisme otentikasi nama / sandi yang menggunakan kredensial yang terdiri dari nama dan password.
OTENTIKASI LDAP operasi Bind berfungsi untuk mengotentikasi pesan yang ditukar antara klien dengan server. BindRequest berisi : Versi, Nama,. Otentikasi, Versi, petunjuk sebuah nomor dari versi protokol yang dipakai pada lapisan pesan LDAP. Nama, jika tidak terdapat nama direktori pada operasi ini, maka nama yang dipakai adalah “Null”. Hal ini bertujuan apabila terdapat sebuah server yang berupaya mencari nama obyek, maka server itu tidak akan melakukan dereferencing. Otentikasi, sebelum mentransfer data, klien harus mempersiapkan sebuah teks password sebagai permintaan dengan menerapkan SASLprep.
OTENTIKASI LDAP LDAP melindungi mekanisme otentikasi password / nama menggunakan mekanisme TLS Implementasi LDAP tidak mengijinkan penggunaan nama / password secara default. Implementasi LDAP server harus mendukung pernyataan otoritas dari identitas klien melalui mekanisme EXTERNAL SASL. LDAP server yang mendukung implementasi tidak mempunyai mekanisme otentikasi selain mekanisme otentikasi anonim yang mendukung penggunaan TLS,
OTENTIKASI LDAP Operasi STARTTLS menyediakan kemampuan untuk membangun TLS dalam sesi LDAP. protokol TLS pada LDAP => memastikan kerahasiaan data dan integritas, selain itu untuk opsional menyediakan otentikasi. Otentikasinya TLS TLS menyediakan kemampuan tersebut, meskipun layanan otentikasi dari TLS hanya dapat dikombinasi dengan metode otentikasi EXTERNAL SASL, dan kemudian jika pelaksanaan EXTERNAL SASL memilih untuk memanfaatkan kredensial TLS
OTENTIKASI LDAP Setiap sesi LDAP memiliki Authorization State atau otoritas State. State terbagi dari beberapa faktor Faktor dapat ditentukan atau dipengaruhi oleh protokol dan terdapat beberapa faktor yang dapat ditentukan oleh peristiwa eksternal Setiap sesi pada LDAP memiliki Authorization State atau otoritas State. State disini terbagi dari beberapa faktor, seperti otentikasi apa yang telah didirikan, bagaimana cara mendirikan ,dan layanan keamanan apa yang dipakai. Beberapa faktor dapat ditentukan atau dipengaruhi oleh protokol dan terdapat beberapa faktor yang dapat ditentukan oleh peristiwa eksternal ( misalnya, waktu, hari, atau beban server).
OTENTIKASI LDAP Operasi Bind pada RFC 4511 memungkinkan untuk mengotentikasi pesan yang ditukar antara klien dengan server. Permintaan Bind biasanya menentukan otentikasi identitas yang diinginkan. memungkinkan Klien untuk menentukan otoritasi dari identitas. Jika otorisasi identitas di tentukan, maka server harus memverifikasi otentikasi identitas dari klien. Sebaliknya, jika otorisasi identitas tidak di tentukan, maka server akan mengotentikasi identitas secara khusus.
PRINSIP KERJA LDAP klien mengirimkan permintaan protokol menggambarkan operasi yang akan dilakukan untuk server. Server kemudian bertanggung jawab untuk melakukan operasi yang diperlukan dalam Direktori. Setelah menyelesaikan suatu operasi, server mengembalikan sebuah respon yang biasanya mengandung data yang sesuai ke klien yang meminta. Protokol operasi umumnya independen satu sama lain. Setiap operasi diproses sebagai tindakan atom, meninggalkan direktori dalam keadaan yang konsisten. Permintaan dan tanggapan untuk beberapa operasi secara umum dapat dipertukarkan antara klien dan server dalam urutan apapun. Jika diperlukan, sinkron dapat dikontrol oleh aplikasi client.
PRINSIP KERJA LDAP SERVER LDAP menggunakan model X.500(93) x.500 karena untuk membatasi modifikasi atribut, untuk mencegah terjadinya kelas struktural dari entri yang berubah. Ketika akan membuat sebuah entri atau menambahkan suatu objectclass untuk sebuah entrym semua superclass yang bernama Class secara implisit akan ditambahkan
KEKURANGAN LDAP (-) Terdapat kemungkinan client mengakses server yang berbeda-beda melalui URL (-) URL bekerja otomatis tanpa melibatkan pengguna password kemungkinan akan digunakan kembali secara otomatis (-) kemungkinan server melakukan penyalahgunaan dan penyadapan x.500 karena untuk membatasi modifikasi atribut, untuk mencegah terjadinya kelas struktural dari entri yang berubah. Ketika akan membuat sebuah entri atau menambahkan suatu objectclass untuk sebuah entrym semua superclass yang bernama Class secara implisit akan ditambahkan
kELEBIHAN LDAP (+) Proses otentikasi dilakukan dengan sederhana (+) Terdapat mekanisme yang menjamin kerahsiaan data dan integritas data x.500 karena untuk membatasi modifikasi atribut, untuk mencegah terjadinya kelas struktural dari entri yang berubah. Ketika akan membuat sebuah entri atau menambahkan suatu objectclass untuk sebuah entrym semua superclass yang bernama Class secara implisit akan ditambahkan
TERIMA KASIH. . . . x.500 karena untuk membatasi modifikasi atribut, untuk mencegah terjadinya kelas struktural dari entri yang berubah. Ketika akan membuat sebuah entri atau menambahkan suatu objectclass untuk sebuah entrym semua superclass yang bernama Class secara implisit akan ditambahkan