EC7010 Keamanan Sistem Lanjut Judul makalah : Layanan Sistem Direktori Dengan Menggunakan LDAP (Lightweight Directory Access

Protocol) Dosen : Ir. Budi Rahardjo, Msc, Phd Nama : Dika Jatnika NIM : 23202081

PROGRAM MAGISTER OPSI TEKNOLOGI INFORMASI JURUSAN TEKNIK ELEKTRO FAKULTAS TEKNIK INDUSTRI INSTITUT TEKNOLOGI BANDUNG 2004

Abstraksi Lightweight Directory Access Protocol (yang terbaru v3, tahun 2003) adalah aplikasi security direktory yang sudah mulai banyak aplikasi memakainya sebagai fungsi share informasi terutama login dan password, IBM, microsoft windows 2000 pun mengadopsinya untuk pengaturan layanan direktori. Bahkan yang lebih bersifat individu seperi openOffice dan web commerce telah memanfaatkan fitur yang ada pada LDAP ini. Makalah ini akan memfokuskan pembahasan sistem layanan direktori, terutama sistem LDAP dengan memakai software openLDAP secara singkat sebagai contoh. Dapat dilihat bagaimana karakteristik kerja sistem layanan direktori ini , konfigurasi seperti apa yang dapat dipilih sebagai opsi yang paling efisien, sehingga pembaca mempunyai alasan yang tepat untuk memilih LDAP sebagai background layanan sistem direktori aplikasinya. Penulis menyadari makalah ini masih jauh dari sempurna untuk mengenalkan sistem layanan direktori lebih dalam, namun berharap tulisan ini dapat dikembangkan untuk aplikasi lainnya yang berhubungan dengan pemanfaatan layanan direktori LDAP. Selamat membaca. i

Daftar Isi ABSTRAKSI....................................................................... ............................................................ I DAFTAR ISI...................................................................... ............................................................II DAFTAR GAMBAR................................................................... ................................................. IV DAFTAR TABEL.................................................................... ......................................................V PENDAHULUAN..................................................................... ......................................................1 LAYANAN DIREKTORI............................................................... ...............................................2 MASALAH PADA PROTOCOL X.500 (THE HEAVYWEIGHT) .................................. .............................2 LDAP ........................................................................... ................................................................3 Karakteristik LDAP.............................................................. .....................................................3 Komponen LDAP .................................................................. ....................................................4 ORGANISASI DATA LDAP ........................................................... ..................................................4 Bagaimana informasi ini tersusun ? ............................................. ............................................5 Seperti apa informasi itu diteruskan ? ......................................... .............................................6 Bagaimana informasi dapat diakses ? ............................................ ..........................................6 Bagaimana LDAP bekerja ......................................................... ...............................................7 PROTOCOL LDAP................................................................... .......................................................7 SLAPD .......................................................................... .................................................................9 SLURPD.......................................................................... .............................................................10

MANAJEMEN DIREKTORI............................................................. .........................................11 MODEL MANAJEMEN................................................................. ...................................................11 Centralized Administration ..................................................... ................................................11 Distributed Administration...................................................... ................................................11 User self-administration........................................................ ..................................................11 DESAIN STRUKTUR NAMESPACE (DIREKTORY INFORMATION TREE).......................... .................12 LDIF, BAHASANYA LDAP............................................................ ..............................................13 KONFIGURASI PADA LAYANAN LDAP .................................................. .............................16 LAYANAN LOKAL DIREKTORI......................................................... .............................................16 LAYANAN DIREKTORI MENGGUNAKAN TEKNIK REFERRALS.................................. ......................16 LAYANAN DIREKTORI TER-REPLIKASI................................................. ........................................17 Opsi Replikasi dengan modifikasi server master ................................. ...................................17 Opsi Replikasi dengan model Referrals........................................... .......................................18 Opsi Replikasi dengan model Chaining............................................ ......................................18 Single master................................................................... .......................................................19 Floating master................................................................. ......................................................19 Cascading....................................................................... ........................................................19 Fractional...................................................................... .........................................................19 Multi master.................................................................... .....................................................20 LAYANAN DIREKTORI LOKAL YANG TERDISTRIBUSI ..................................... ..............................20 LDAP SOFTWARE................................................................... ...................................................21

MEMBANGUN SERVER LDAP MENGGUNAKAN PERANGKAT LUNAK OPENLDAP...................... ..21 Sekali Lagi Tentang Kontrol Akses............................................... ..........................................23 Beberapa contoh kontrol akses .................................................. .............................................24 MENJALANKAN SERVER SLAPD ....................................................... .............................................24 ii

KOLABURASI LDAP DENGAN APLIKASI LAIN ........................................... ..................................26 REFERENSI....................................................................... ..........................................................27 iii

Daftar Gambar GAMBAR 1 POHON DIREKTORI LDAP (TRADISIONAL NAMING) ............................. ..........5 GAMBAR 2 POHON LDAP (INTERNET NAMING) .......................................... ...................6 GAMBAR 3 ILUSTRASI BAGAIMANA MULTI SERVER LDAP MELAYANI SERVICE DIRECTORY...7 GAMBAR 4 TYPICAL LDAP CONVERSATION.............................................. .....................8 GAMBAR 5 SLURPD BERTANGGUNG JAWAB MENDISTRIBUSIKAN PERUBAHAN YANG DIBUAT MASTER SLAPD DATABASE KE REPLIKASINYA .......................................... ..................10 GAMBAR 6 NAMESPACE ORGANIZATION................................................. ....................12 GAMBAR 7 DIBANDINGKAN DENGAN UNIX FILE SYSTEMS ................................. .............13 GAMBAR 8 MY ORGANIZATION ....................................................... ...........................13 GAMBAR 9 KONFIGURASI LOKAL DIREKTORI............................................ .....................16 GAMBAR 10 KONFIGURASI REFERRAL ................................................. .........................16 GAMBAR 11 REPLICATION OPTIONS - MODIFIKASI MASTER .............................. ............17 GAMBAR 12 REPLICATION OPTIONS - REFERRALS....................................... ..................18 GAMBAR 13 REPLICATION OPTIONS - CHAINING........................................ .................18 iv

Daftar tabel TABEL 1 ENTITAS AKSES........................................................... ......................................23 TABEL 2 LEVEL AKSES............................................................. ......................................23 v

Pendahuluan Pada suatu daerah kebanyakan untuk menghubungi relasi biasanya kita membutuhkan sebuah telepon index, atau minimal buku alamat. Bahkan pada zaman sekarang kita dimanjakan oleh teknologi yang hanya untuk memesan ayam goreng lunak favorit anak tercinta yang sedang rewel cukup dengan melihat yellow pages kemudian jari kita bermain pada tuts telepon, tunggu sekitar 30 menit pesanan tersebut telah sampai ke rumah relatif dengan jarak tempat restoran cepat saji itu berada. Suatu perusahaan yang mempunyai organisasi membutuhkan penangan dokumen dengan baik, maka disusunlah nama nama jabatan dan atributnya mirip pohon direktori. konsep inilah yang menjadi inti dari ide directory service. Dengan menampung data yang memang sedikit, disusun secara berjenjang layaknya direktori, dan tidak memerlukan resource secanggih database umumnya. LDAP adalah salah satu aplikasi yang dikembangkan oleh michigan univ. untuk menangani data sederhana dengan bentuk direktori untuk menjaga kehandalan dan kecepatan dalam olah data yang singkat. Cocok untuk proses autentifikasi dari client server yang berbeda-beda platform. Tidak membutuhkan proses transaksi, rollback yang rumit sebagaimana halnya database. Berawal dari protocol X.500 yang dikenal kemudian sebagai heavyweight (akan diterangkan kemudian pada sub bab selanjutnya) sebuah variasi transaksi yang gemuk terkadang overheads dan pada prakteknya sebagaian besar OSI terkonsentrasi pada lapisan network transport, yang dianggap sulit diimplementasi pada Pc. LDAP datang sebagai solusi gateway yang menjawab kesulitan yang dihadapi protocol x.500, lebih menggunakan pendekatan TCP dari pada protocol sebelumnya, menggunakan fungsi-fungsi yang lebih universal dan ringan dari protocol TPC/IP pada lapisan network transport, dengan nilai tambah Pc dapat mengakses layanan direktori melalui implementasi protocol TCP/IP. Yang terakhir kita juga membahas beberapa konfigurasi LDAP untuk mendukung aplikasi yang membutuhkan sistem layanan direktori ini.

Layanan Direktori Direktory disini adalah layanan database ringan yang hanya memerlukan transaksi yang sederhana, direktory tidak mendukung filter yang rumit, transaksi atau roll-back schema yang kompleks update direktory pun sangat mudah dilakukan atau tidak mengubah banyak variabel jika itu diijinkan. Direktory hanya dipakai untuk menanggapi transaksi yang cepat, dan operasi pencarian. Juga mempunyai kemampuan untuk mereplikasi informasi untuk menambah kemampuan dan reliability untuk mengurangi response time. Kenyataannya ada banyak jalan untuk melakukan service direktori ini. Beda-beda cara seiring dengan informasi apa yang diberikan oleh direktori servis ini, perbedaan tempat dan peralatan juga menentukan bagaimana informasi disimpan queri dan update , seperti apa perlindungan data informasi dari orang-orang yang tidak mempunyai hak akses. Ada direktori yang local, melayani layanan terbatas pada context (contohnya fasiltas finger pada mesin tunggal). Ada juga servis global, yang mempunyai layanan yang lebih lebar atau luas kontexnya misalnya layanan internet. Layanan yang bersifat global ini biasanya sistem terdistribusi, artinya data yang dimuat tersebar ke banyak mesin, yang mempunyai kerjasama untuk melayani layanan direktori ini. Ciri khas sebuah layanan global mempunyai sebuah definisi nama yang seragam memberikan gambaran data yang sama tidak peduli seperti apa relasi data tersebut. Sistem Domain Internet adalah salah satu contoh yang menerapkan layanan global layanan direktori. Masalah pada protocol X.500 (The Heavyweight) X.500 pertama kali diperkenalkan rancangannya pada tahun 1988 oleh ITU dan ISO. Fungsi utamanya sebagai sistem direktori sebgai bagian dari pengayaan operasi pencarian. Dengan standart terbuka dengan banyak bug dan sangat lambat. Secara teknik, LDAP adalah protocol yang digunakan untuk mengakses direktori X.500 directory service (OSI-nya layanan direktori). Inisialisasi LDAP server merupakan gateway antara LDAP dengan X.500 Directory Access Protocol (DAP), sedangkan DAP merupakan protocol heavyweight yang mengoperasikan stack protocol OSI secara penuh, konsekuensinya tentu saja sangat menyedot resource. LDAP hadir dirancang menggunakan pendekatan protocol TCP/IP dikawinkan dengan fungsi-fungsi DAP sehingga fungsi DAP dapat dijalankan dengan lebih murah. Dengan adanya fungsi-fungsi DAP pada LDAP, tentu saja sangat meringankan X.500, tapi masalah lain masih ada, tetap saja pemakaian

LDAP layanan X.500 secara penuh diperlukan untuk dapat membuat banyak data LDAP pada client. Tentu saja dengan tidak melupakan konsekwensinya yaitu perlu resource yang berat untuk itu. Dari masalah diatas lahirlah Stand-alone LDAP Daemon atau slapd. Hal ini sangat berarti sekali dalam mengurangi beban server LDAP. Jika anda masih ingin memakai protocol X.500, saya sarankan berhenti membaca artikel ini .. Walaupun itu sangat mungkin memakainya dengan menggunakan sebuah gateway LDAP/DAP, tapi konsekwensi yang harus diambil adalah pemakaian resource yang tidak perlu. LDAP LDAP adalah akronim dari Lightweight Directory Access Protocol merupakan salah satu model layanan direktori slapd1 yang berbasis global. LDAP dijalankan berdasar dari standar protokol TCP/IP . secara sangat mendetail dapat dilihat definis LDAP pda RFC2251 The Lightweight Directory Access Protocol (v3) . Dilihat dari sudut pandang user. LDAP mengadopsi database dan model security protocol X.500 plus mengambil kelebihan security internet seperti SASL & SSL/TLS. Karakteristik LDAP Mengapa LDAP banyak terpilih untuk digunakan sebagai layanan direktori pada multiplatform ? Akan kita lihat dari karakteristik LDAP sebagai berikut : Global Direktory service, LDAP dirancang sebagai layanan direktori yang mengijinkan para user untuk mengakses informasi sebagai indentifikasi yang unik dalam arti tidak mempunyai 2 buah atau lebih identitas yang sama dalam skala global, percis sama halnya dengan penamaan domain internet. Open Standard dan interconnectivity, LDAP dapat diadaptasi oleh vendor ataupun individu secara bebas, biasanya para vendor menyisipkan teknologi LDAP pada aplikasi mereka contohnya microsoft windows 2000 dan open office, dan karena memakai protocol TCP/IP maka memperoleh keunggulan interconectivity sehingga dapat berhubungan dengan komunikasi internet global. Mudah di-customize dan mudah diperluas, fleksibel untuk mengatur tampilan interface sebebas user mendefinisikan juga dapat dikombinasikan dengan program aplikasi apapun karena LDAP adalah program yang dapat disisipkan (embeded). Penyimpanan data yang Heterogen, server LDAP menggunakan sebuah database backend untuk menyimpan data, tapi tidak sangat mengikat juga. Fakta, LDAP dapat digunakan pada waktu yang 1 Slapd= stand alone daemon untuk layanan direktori EC7010 - Keamanan Sistem Lanjut Halaman 3

LDAP bersamaan untuk menyimpan dan membaca lebih dari satu database backend. Variasi data yang disimpan pada LDAP misalnya buku alamat, konfigurasi user pada lingkungan korporasi, dan informasi aplikasi. Keamanan dan protocol akses yang terkontrol, karena dengan proses autentifikasi diharapkan akan menjadikan transaksi lebih aman. Dengan sistem security SASL Simple Autentification and Security Layer Banyak sekali sistem keamanan yang menjadi pilihan para user/vendor dalam pemakaian LDAP ini misalnya : SSL yang dipopulerkan netscape,CRAM MD5, TLS. LDAP juga menyediakan fitur kontrol akses yang sangat kaya untuk mengotrol siapa yang berhak menggunakan suatu informasi tersebut. Komponen LDAP Tiga komponen LDAP yang selalu dibicarakan dalam membahas sistem direktori adalah : LDAP data organisasi : bagaimana format data didefinisikan selama penyimpanan dan pertukaran entitas komunikasi LDAP, misalkan Client server dan server server. LDAP protocol : bahasa yang dipakai oleh client dan server saat para client mengakses direktori. Protocol LDAP juga menyediakan komunikasi server to server untuk menangani proses Replikasi. LDAP clients : Varian varian client LDAP yang diimplementasi oleh berbagai vendor API dan tools pada banyak platform yang berbeda dengan syarat tentu saja dapat tersambung ke server LDAP sesuai dengan format protocol LDAP. Organisasi Data LDAP sebelum masuk kepada model kita perlu mengetahui dulu istilah-istilah yang terdapat pada organisasi data LDAP. Entry : input yang harus dimasukkan kedalam sebuah database direktori. Titik yang menyimpan nama seseorang, berikut informasi lain yang akan disimpan pada direktori seperti alamat email, posisi pekerjaan dll. Disebut juga DSE (Distiguised Service Entry). Attribute : field yang diisikan pada sebuah direktori database. Contohnya common name (CN) adalah atribut menandakan name dari sebuah Entry sedangkan attribute mail adalah attribut untuk email Object : jika dianalogikan pada sebuah database object dapat dikatakan sebagai tabel. Distinguished Name (DN) : nama unik bersifat global yang digunakan untuk mengidentifikasi sebuah Entry. EC7010 - Keamanan Sistem Lanjut Halaman 4

LDAP Relative Distinguished Name : setiap level dalam pohon direktori menghasilkan komponen DN, komponen komponen DN inilah yang disebut RDN. Directory Information Tree (DIT) : informasi yang termuat pada pohon direktori itu. Schema : memuat aturan yang menjelaskan bagaimana data dikelompokkan sesuai dengan bagan direktori LDAP. Schema suatu hal yang niscaya dibutuhkan untuk proses-proses pengolahan informasi seperti : searching, adding, deleting, editing modificating, dll (untuk detail lihat RFC 2256). Informasi model apa saja yang disimpan ke dalam layanan direktoriini ? modelnya berbasis pada entries. Sebuah Entry merupakan sebuah kumpulan attribut yang mempunyai sifat global, unik, dan nama yang istimewa (distinguished name disingkat DN). DN ini dipakai untuk mengarahkan ke sebuah entry yang tidak ambigue. Setiap entry terdapat jenis atribut khas, mempunyai satu atau lebih nilai. Jenis atribut umumnya mnemonic string, contohnya cn untuk common name atau mail untuk alamat email. Sintax nilai tergantung dari jenis attributnya. Contoh attribut cn merepresentsikan Babs Jensen. Attribut mail biasanya alamat email orang tersebut babs@contoh.com. Sebuah photo jpeg pun dapat dipampang dalam direktori ini dengan model format binary. Bagaimana informasi ini tersusun ? Dalam sistem LDAP, entries disusun berdasar tertib hirarki pohon struktur. Secara tradisional, struktur tersebut merefleksikan kedudukan geografis organisasi. Entries mewakili negara terlihat di puncak pohon organisasi ini. Kemudian secara berurutan dibawahnya mewakili states dan organisasi nasional, unit, orang-orang, printer, dokumen, atau yang lainnya. Gambar 1 pohon direktori LDAP (tradisional naming) EC7010 - Keamanan Sistem Lanjut Halaman 5

LDAP Pohon juga dapat disusun berdasarkan pada nama domain internet. Pendekatan ini tambah populer seiring dengan diijinkannya layanan direktori dialokasikan dengan memakai DNS (Domain Name Sistem) gambar selanjutnya memperlihatkan contoh pohon LDAP memakai dasar domain base. Gambar 2 pohon LDAP (internet naming)2 LDAP memberi hak kepada kita untuk mengontrol attribut yang bersesuaian dari entry sampai attribut khusus yang disebut objectClass3 . isi dari attribut objectClass ditentukan aturan schema yang semestinya dipatuhi oleh entry. Seperti apa informasi itu diteruskan ? Sebuah entry di-reference dengan memakai nama khusus yang dibangun dengan mengambil nama dari entry itu sendiri (istilah kerennya Relative Distiguished Name RDN) dan penggabungan nama moyangnya. Contoh : entry Barbara Jensen untuk pohon internet naming base tree mempunyai RDN uid=babs dan DN dari uid=babs, ou=people,dc=example,dc=com 4 Bagaimana informasi dapat diakses ? LDAP mendefinisi operasi untuk menelusuri dan meng update direktori. Operasi disediakan untuk operasi penambahan, penghapusan, peubahan entry yang telah ada juga mengubah nama dari entry sebuah direktori, dengan terlebih dulu melakukan operasi pencarian informasi pada direktori. Operasi pencarian LDAP dapat diatur pada hanya sebagian direktory yang sesuai dengan kreteria filter. 2 lihat http://www.openldap.org/ 3 objectClass = attribut khusus yang terdapat pada schema 4 lihat RFC2253 lightweight Directory Access Protocol (v3): UTF-8 String Represen tation of Distiguished Names EC7010 - Keamanan Sistem Lanjut Halaman 6

LDAP Contohnya, kita kadang ingin mencari subtree direktori yang dipunyai dc=example, dc=com untuk orang dengan nama Barbara Jensen, mencari alamat email pada masing-masing entry. LDAP akan melakukan pencarian atau kita cari langsung pada entry st=california, c=US entry pada organisasi string Acme pada namanya, dan nomor fax. LDAP dapat melakukannya. Seperti apa proteksi informasi dari akses yang tidak dikehendaki ? Ada beberapa layanan direktori tidak ter-proteksi, membiarkan setiap orang melihat informasinya. LDAP terdapat mekanisme autentifikasi para client, membuktikan bahwa identitas itu diperbolehkan mengakses server direktori, ada koridor untuk mengontrol akses kontrol. LDAP juga mendukung privasi dan integritas keamanan. Bagaimana LDAP bekerja LDAP layanan direktori berbasis model client-server. Satu atau lebih layanan LDAP memuat data untuk pohon direktori LDAP. Client LDAP terhubung dengan sebuah server LDAP dan menanyakan sesuatu. Server menjawab atau dengan pointer menunjukkan client kemana memperoleh informasi tambahan( server LDAP lainnya). Tak ada masalah server LDAP mana yang berhubungan dengan client, terlihat kesamaan view direktori; sebuah nama menunjukkan satu server LDAP sebagai acuan entry yang sama ke server LDAP lainnya. Ini adalah salah satu fitur layanan global direktori yang semestinya tersedia; dan LDAP memenuhi semua syarat itu. Gambar 3 Ilustrasi bagaimana multi server LDAP melayani service directory Protocol LDAP LDAP memakai prinsip model client-server, dengan pandangan berorientasi pada pengiriman pesan oleh protocol ini. Client mengirim pesan kepada server, kemudian server direktori menjawabnya kepada client dengan kemampuan menangani banyak request dalam suatu waktu yang hampir bersamaan. Server membaca masing-masing id untuk di identifikasi. Transaksi ini memakai Basic Encoding Rules (BER), bukan plain text. EC7010 - Keamanan Sistem Lanjut Halaman 7

LDAP Client Server open conection and bind result of bind operation search operation returned entry 1 returned entry 2 result of search operation unbind operation close operation Gambar 4 Typical LDAP conversation5 Pada protocol LDAP, terdapat 9 macam operasi yang dibagi menjadi 3 kategori, yaitu : Operasi Interogasi Search (operasi pencarian data) Compare(operasi pembandingan data) Operasi Update Add (tambah data) Delete (hapus data) Modify (modifikasi data) Operasi Autetikasi dan Kontrol Bind, hal yang dilakukan pada operasi ini antara lain adalah : 1. Client melakukan Authentifikasi ke server direktori. 2. Koneksi TCP, mengirim nama unik (distinguished name) dan mandat autentifikasi. 3. Server mencocokkan mandat autentifikasi, kemudian hasilnya dijawab ke client 4. Jika mandat ditolak, dijawab sebagai anonymous bind 5. Proses autentifikasi, berakhir ketika status koneksi open, sampai client melakukan de-Autentifikasi. Unbind, melakukan proses pemutusan hubungan client-server. Abandon, transaksi tidak jadi dilakukan 5 LDAP Theory and Management, SAGE-AU Conf 2003 EC7010 - Keamanan Sistem Lanjut Halaman 8

LDAP Slapd Sebagaimana pembicaraan semula, slapd merupakan LDAP direktori server yang dapat berjalan pada banyak flatform yang berbeda. Kita dapat memakainya sebagai penyedia data kita sendiri. Direktori kita dapat memuat beberapa hal penting yang layak disimpan dan dapat dikoneksikan ke layanan direktori global LDAP atau stand alone , fitur slapd antar lain : Dukungan pada LDAPv2 dan LDAPv3, dukungan terhadap Ipv4 dan Ipv6. Layer keamanan, dan Proses outentifikasi yang sederhana, dengan memakai SASL mendukung tabel hash DIGEST-MD5, EXTERNAL dan GSSAPI. Kontrol akses, dapat diatur sesuai dengan autorisasi yang diberikan. Internasionalisasi, perintah aplikasi ataupun dokumentasinya bebas diterjemahkan kedalam berbagai bahasa. Multiple database instantiasi, slapd dapat melayani multiple database dalam waktu yang bersamaan, berarti single server slapd tunggal apat menangani permintaan dari banyak bagian logik pohon LDAP yang berbeda dengan memakai backend database yang sama atau berbeda. Modul API Generik, sehingga sangat fleksibel untuk dikostumisasi. Slapd terdiri dari dua bagian besar, sebuah front end yang menangani protocol komunikasi LDAP client; serta modul yang menangani tugas khusus seperti misalnya operasi database. Dapat dilakukan menggunakan programming yang sudah populer seperti perl shell, SQL dan TCL. Threads, slapd mempunyai sifat single multi-threaded akibatnya dapat mengurangi system over head. Replikasi, slapd sangat dapat dikonfigurasikan untuk mengurus replikasi database, single-master/multiple-slave replication schema sangat dibutuhkan pada lingkungan database yang high-volume, pada kondisi tersebut, single slapd tidak saja reliabel dan avaliabel, malahan Slapd experimental hadir untuk menyokong teknologi multimaster replikasi. Mudah dikonfigurasikan Dibalik keunggulannya slapd juga mempunyai keterbatasan tentu saja. LDBM database backend-nya tidak mampu menangani range query atau negasi query secara baik. Hal ini baru akan dikembangkan pada fitur release mendatang, tunggu saja ! EC7010 - Keamanan Sistem Lanjut Halaman 9

LDAP Slurpd Slurpd adalah daemon yang membantu slapd sehingga dapat melakukan layanan ter-replikasi. Slurpd bertanggung jawab mendistribusikan perubahan yang dibuat master slapd database ke replikasinya. Hal ini tentu saja meringankan kerja slapd sehingga tidak perlu cemas jika replikasinya mungkin down atau tidak terjangkau ketika perubahan itu terjadi; slurpd meng-handle request yang gagal secara otomatis. Slapd dan slurpd berkomunikasi melalui file text sederhana yang dipakai log khusus. Catatan : lihat pada bab replikasi slurpd lebih lanjut. Gambar 5 Slurpd bertanggung jawab mendistribusikan perubahan yang dibuat master slapd database ke replikasinya6 Penjelasan gambar 5. Contoh skenario replikasi dengan slurpd : 1. Client LDAP submit operasi modifikasi LDAP pada slave slapd terdekat. 2. Slave slapd merespon secara referral ke client LDAP dan menganjurkan client meneruskan requestnya ke master slapd. 3. Client LDAP submit operasi modifikasi LDAP pada master slapd. 4. Master slapd memodifikasi data sesuai dengan request client, dan melaporkannya ke client. 5. Master slapd menulis perubahan pada file replication log, 6. Proses slurpd memberitahukan sebuah entry baru telah ditambahkan menurut laporan file replication log, baca log tersebut. 7. kirim perubahan ke slave slapd via LDAP, slave memodifikasi perubahan sesuai dengan slurpd dan melaporkan perubahan yang berhasil pada slurpd. 6 http://www.openldap.org/ EC7010 - Keamanan Sistem Lanjut Halaman 10

Manajemen Direktori Sebelum menerapkan servis LDAP, adalah langkah yang penting jika kita memikirkan rancangan yang cocok sesuai dengan tata letak bagan organisasi yang cocok dibangun untuk manajemen direktori. Paparan dibawah ini lebih menjurus pada pilihan-pilihan yang ada pada dunia nyata, selanjutnya pilihan apa yang paling cocok untuk dijalankan tergantung sistem informasi yang dibutuhkan secara aktual. Model manajemen Terdapat 3 pilihan model manajemen administrator direktori yang dapat dipilih oleh user / administrator: Centralized Administration Model terpusat ini cocok untuk menangani organisasi skala kecil, semua perubahan ditangani oleh satu lokasi atau satu kelompok orang saja. Dengan infrastruktur admin yang minimal, kecil kemungkinannya untuk duplikasi data. Distributed Administration Mulanya adalah sistem terpusat, kemudian perusahaan mengalami kemajuan yang cukup berarti. Hal tersebut membuat kerepotan bagian administrasi, mulai dari user yang banyak sehingga organisasi menggelembung, lalu lintas data yang padat .. terjadi Bottleneck long delay time, hal tersebut sangat menghambat performa dan produktifitas organisasi atau perusahaan. maka dimulailah pemikiran untuk melakukan administrasi secara terdistribusi. Artinya setiap pekerjaan administrasi berdasarkan pada pendelegasian setiap departement diatur dengan koordinasi pada sub-grup, sehingga kejadiaan Bottleneck seperti diatas dapat dihindari. Kinerja yang diharapkan baik bisa terkejar dengan apa yang diharapkan, cost yang dikeluarkan terbayar dengan delay time yang kecil. Posisi server root DNS berada pada top level, melalui pendelegasian proses administrasi di jalankan. Desain namespace 7menjadi hal yang niscaya karena sulit untuk melakukan pendistribusian jika melewati flat-namespace8 User self-administration Semakin canggihnya teknologi terutama sejak Boomingnya teknologi internet, penerapan teknologi layanan direktori berkembang sesuai dengan kebutuhan, sekarang tidak melulu kebutuhan administrator suatu instansi, melainkan pemakai web browsing pun butuh gaya informasi 7 Directory Information Tree (DIT), direktori informasi yang terbangun seperti s truktur pohon 8 hubungan satu cabang-dengan cabang lainnya dalam satu pohon

LDAP seperti ini untuk memudahkan penyimpanan. Seorang user web membuat dan mengatur account-nya mandiri sesuai dengan kebutuhan tanpa campur tangan administrator web. Contoh populer yang terjadi pada internet shoping skala menengah ke atas, memerlukan suatu mekanisme pengaturan informasi apa saja yang dibutuhkan oleh user tersebut, dan sekaligus menghitung account secara mandiri dan otomatis. Desain Struktur Namespace (Direktory Information Tree) Data entry disimpan secara hirarki terstruktur seperti bentuk pohon. Dikenal dengan sebutan Directory Information Tree. Dengan bentuk namespace yang konsisten dan seragam, data selalu ditampilkan untuk menjawab kebutuhan. Untuk mengerti struktur namespace, global namespace dibagi menjadi tiga bagian secara logic: Suffix, adalah root (bagian atas) dari sebuah bagian global namespace. Seharusnya server-server lain dapat masuk kedalam suffix , karena pada suffix tersimpan sebagian informasi. Dengan kata lain, suffix menempati posisi paling atas dari entry yang tersimpan, server suffix dapat melayani lebih dari satu suffix. Struktur Organisasi, tersimpan dibawah suffix, biasanya bertingkattingkat membentuk hirarki sesuai dengan kebutuhan. Data Direktori, disimpan secara flat atau hirarki dengan memanfaatkan dua bagian logic tersebut (suffix dan struktur organisasi) Gambar 6 Namespace organization9 9 LDAP Implementation Cookbook, International Technical Support Organization, http://www.redbooks.ibm.com EC7010 - Keamanan Sistem Lanjut Halaman 12

LDAP Gambar 7 dibandingkan dengan Unix File Systems10 LDIF, Bahasanya LDAP LDAP Data Interchange Format, sebutan untuk format lingo atau bahasa yang dapat dibaca oleh manusia. LDIF bukan satu-satunya cara manusia berinteraksi dengan Client, data client LDAP dapat diteruskan melalui comma delimited strings atau bahasa XML 11 . LDIF merupakan format text dan binary (untuk memasukkan images) dengan ASN dan di kodekan dengan BAR (Basic Encoding Rule) untuk lewat ke network Berikut contoh sebuah organisasi yang dijabarkan dengan menggunakan LDIF c=us o=myorg cn : misha I: JKT mail :misha@yahoo.com telp : 62-21-22272810 Description : Reporter cn : Desi I: BDG mail : dess@yahoo.com telp : 62-22-2512810 Description : Presenter cn : dewi I: BGR mail : dewi@yahoo.com telp : 62-251-774810 Description : Creator Gambar 8 My Organization12 Dengan mengacuhkan isi dari Keterangan diatas mari kita bahas yang berhubungan dengan LDIF- nya saja. dn : o=myorg, c=usobjectclass: topobjectclass: organization o: myorg 10 LDAP Theory and Management, SAGE-AU Conf 2003 11 Lihat DSML Directory Services Markup Language http://www.dsml.org12 Professio nal PHP Programming EC7010 - Keamanan Sistem Lanjut Halaman 13

LDAP dn : mail=dess@yahoo.com, o=org, c=uscn: Desi objectclass: topobjectclass: personobjectclass: oraganizationalPersonobjectclass : inetOrgPerson l: BDG mail: dess@yahoo.comtelp: 62-22-2512810Description: Presenter dn : mail=misha@yahoo.com, o=org, c=uscn: Misha objectclass: topobjectclass: personobjectclass: organizationalPersonobjectclass: inetOrgPerson l: JKT mail: misha@yahoo.comtelp: 62-21-2272810Description: Reporter dn : mail=dewi@yahoo.com, o=org, c=uscn: Dewi objectclass: topobjectclass: personobjectclass: organizationalPersonobjectclass: inetOrgPerson l: BGR mail: dewi@yahoo.comtelp: 62-22-7742810Description: Creator Perhatikan pada baris atas terdapat insialisasi top-level entry yang mewakili node dengan o=myorg label dn : o=myorg, c=usobjectclass: topobjectclass: organization o: myorg dn sebagai atribut, dibawahnya objectclass dan o sebagai label. Atribut DN adalah atribut indentifikasi yang unik untuk sebuah entry dan yang pasti menjadikannya root, dan wajib mengikuti aturan RDN (Relative Distinguished Name). dn : mail=dewi@yahoo.com, o=org, c=uscn: Dewi objectclass: topobjectclass: personobjectclass: organizationalPersonobjectclass: inetOrgPerson l: BGR mail: dewi@yahoo.comtelp: 62-22-7742810Description: Creator EC7010 - Keamanan Sistem Lanjut Halaman 14

LDAP Pelacakan entry dari atas pohon diagram buku alamat. DN-nya adalah mail=dewi@yahoo.com, o=org, c=us, cn (common name attribute) mail alamat email, telp menunjukkan nomor telpon, l adalah lokasi description menunjukkan textual dari orang tersebut. Objectclassmenunjukkan hira rki class turunan dari entry. Berikut contoh translate menggunakan DSML XML dari LDIF untuk mendeskripsikan RDN untuk misha. <dsml:dsml xmlns:dsml="http://www.dsml.org/DSML"> <dsml:organization> <dsml:entry dn=" o=myorg, c=us "> <dsml:objectclass> <dsml:oc-value>top</dsml:oc-value> <dsml:oc-value> organization </dsml:oc-value> </dsml:objectclass> <dsml:attr name="cn"> <dsml:value>Misha</dsml:value> </dsml:attr> <dsml:attr name= l > <dsml:value>JKT</dsml:value> </dsml:attr> <dsml:attr name= mail > <dsml:value>misha@yahoo.com</dsml:value> </dsml:attr> <dsml:attr name= telp > <dsml:value>62-21-2272810</dsml:value> </dsml:attr> <dsml:attr name= Description > <dsml:value> Reporter </dsml:value> </dsml:attr> </dsml:entry> </dsml: organization > </dsml:dsml> Dengan DSML sebenarnya, sama saja dapat membaca hanya saja

berformat XML, dapat menyimpan schema dan data sekaligus, dapat di import/export format untuk direktori data, banyak server yang dapat berinteraksi dengan format XML, lebih kompleks dibandingkan LDIF, dan anda harus memperhitungkan bahwa tidak semua server LDAP mendukung format XML ini. EC7010 - Keamanan Sistem Lanjut Halaman 15

Konfigurasi Pada Layanan LDAP Pada bab ini akan diterangkan overview dari variasi konfigurasi LDAP. Situasi dan kondisi seperti apa yang dapat diterapkan dari konfigurasi tersebut, apa saja yang terlibat pada masing-masing konfigurasi. Layanan Lokal Direktori Pada konfigurasi ini, slapd dikonfigurasikan hanya untuk melayani layanan direktori domain lokal saja. Tidak melakuan interaksi dengan server direktori lainnya. Gambar 9 Konfigurasi Lokal Direktori Ini merupakan konfigurasi default yang disediakan software LDAP. Adapun konfigurasi ini sangat ideal dipakai jika anda hanya butuh layanan lokal saja dan tidak tertarik untuk mengkoneksikannya ke seluruh dunia. Jangan khawatir jika anda berubah pikiran, mudah saja kok, mengubah konfigurasi sesuai dengan kebutuhan anda. Layanan Direktori menggunakan teknik Referrals Pada konfigurasi ini berarti anda menjalankan slapd dengan tujuan layanan direktori untuk domain lokal dan menunjuk (referral) konfigurasi master servernya yang dapat juga menangani superior server diluar domain lokal. 1. Client minta informasi. 2. Server 1 menunjuk server 2. 3. Client meminta informasi ke server2. 4. Server 2 memberikan informasi yang diminta ke client. Gambar 10 konfigurasi Referral

LDAP Layanan Direktori Ter-Replikasi Replikasi adalah metoda yang dapat terus menyalin data direktori pada multiple server. Dengan adanya konfigurasi Ter-replikasi diharapkan adanya penambahan kinerja : Reliability Availability jika satu copy dari server direktori down. lebih mencari server yang dapat digunakan.

Performance memakai server yang paling dekat sehingga lebih cepat dalam mengolah data direktori. Speed dapat mengambil banyak queries sebanyak replikasi itu ditambah. terjadi inconsistensi untuk sementara waktu tidak menjadi masalah. replikasi dekat dengan clients adalah penting sebab jika network down, sama saja dengan server yang down. Opsi Replikasi dengan modifikasi server master Gambar 11 Replication Options - Modifikasi Master13 Client me-modifikasi data direktori ke server master, slurpd dengan melihat replikasi log meng-update data ke slave. Client akan mencari server terdekat . 13 LDAP Theory and Management, SAGE-AU Conf 2003 EC7010 - Keamanan Sistem Lanjut Halaman 17

LDAP Opsi Replikasi dengan model Referrals Gambar 12 Replication Options - Referrals 1. Client mengirim modifikasi data ke replika / slave. 2. Replika menunjuk pointer data secara referral master ke client. 3. Client mengirimkan kembali modifikasi yang telah direfer ke master. 4. Master memberikan hasil yang diminta kepada client. 5. Master mengupdate replika . Opsi Replikasi dengan model Chaining 1. Client mengirimkan modifikasi ke replika. 2. Replika meneruskan request ke server master. 3. Master mengembalikan hasilnya ke replika. 4. Replica meneruskan hasil yang dicari ke client. 5. Master mengupdate data replika . Gambar 13 Replication Options - Chaining EC7010 - Keamanan Sistem Lanjut Halaman 18

LDAP Single master memakai sistem read-write copy data. memakai read-only replikasi untuk mengatasi load baca dan cari . memakai metoda opsi referrals atau chaining modifikasi dalam pengiriman ke replikasinya. Jika terjadi error jelaslah kesalahan pada single point . Paling mudah diimplementasikan daripada sistem replikasi yang lain. Floating master Hanya satu server dengan writeable copy data pada satu waktu tertentu. Jika server master mengalami error, maka sistem slurpd akan menunjuk server master yang baru dari server-server yang disediakan untuk servis direktori. Algoritma aktual dipakai tergantung pada server, biasanya melalui metoda voting. Cascading Master mereplikasi langsung pada hub yang meng-update ulang pada server-server lain . Membantu proses balance heavy loads - master dapat dipakai untuk semua proses menulis, dan secara berangsur-amgsur mereplikasi semuanya ke hub. Dapat mereplika ke local hub yang secara geografi tersebar topologinya. Menambah performance Fractional jika proses baca secara bottom servers.

Proses Replikasi adalah bagian dari attribut. Berdayaguna untuk proses syncronizing internet ke extranet dan penghapusan data untuk alasan keamanan data . Menolong mengurangi biaya replikasi dengan menghapus data yang sudah tidak diperlukan. EC7010 - Keamanan Sistem Lanjut Halaman 19

LDAP Multi master

Tentunya lebih dari sartu server dengan akses writable copy data Adanya proses Server - server bertanggung jawab untuk menyakinkan bahwa data tersimpan dengan benar. Membutuhkan cara atau aturan yang memecahkan konflik antar server . Semua server mengambil writer terakhir sebagai aturan pemenang/memegang data. Otomatis Bisa terjadi kesalahan ketika satu buah server tidak bisa diakses atau down. Sungguh kompleks dan pusing untuk diimplementasikan. Layanan Direktori Lokal yang Terdistribusi Layanan lokal dipecah-pecah menjadi bagian layanan yang lebih kecil, masing-masing bagian tersebut mungkin juga di replikasi dan dikombinasikan bersama dengan superior dan subordinatnya secara referral. EC7010 - Keamanan Sistem Lanjut Halaman 20

LDAP Software Banyak vendor yang menawarkan software server LDAP diantaranya : Slapd yang dikeluarkan University of Michigan atau yang dikembangkan oleh Openldap ( http://www.openldap.org ), Netscape Directory Server, Microsoft Active Directory (AD), Microsoft Exchange (interface only), Novell Directory Services (NDS), Lotus Domino (interface only), Sun Directory Services (SDS), dan Lucent s Internet Directory Server (IDS). Setiap vendor server juga biasanya mengeluarkan toolkits untuk client, contohnya Nestscape mengeluarkan SDK untuk program LDAP ( bahasa C ), perLDAP module dari Openldap, Sun JNDI, microsoft ADSI SDK. Atau ada vendor yang langsung mengeluarkan software hanya untuk sisi client (LDAP API) seperti ColdFusion atau PHP. Pada artikel ini penulis membatasi hanya akan membahas software LDAP yang dikeluarkan oleh Openldap, sebab pada prinsipnya metode yang digunakan sama yaitu protocol LDAP directory service. Membangun server LDAP menggunakan perangkat lunak OpenLDAP Dengan asumsi menjalankan instalasi memakai server varian linux atau unix, dapatkan perangkat lunak Open LDAP terbaru di situs http://www.openldap.org . berikut petunjuk cara cepat menginstall dengan fasiltas standard, selain itu kita dapat dengan mudah menkonfigurasikan fitur yang kita inginkan. Buka file terkompresi dengan perintah tarball, kemudian mengconfigurasinya, disini dicontohkan dengan flag backend databasenya menggunakan GDBM. $ tar xzvf openldap-stable.tgz; cd openldap$ ./configure pi=gdbm compile dengan perintah make $make test untuk meyakinkan terbangun dengan baik, lalu install dengan wewenang root. $ cd tests; make#make install Perhatian !! jika kita akan menginstall software pendukung lainnya, seperti PHP atau mail server, jangan lupa meng-configure aplikasi tersebut dengan enable-ldap sebagai flag. Setelah masalah diatas diselesaikan, openLDAP harus dikonfigurasi untuk mendefinisikan layanan direktori mana yang akan dilayani, by default pada file /usr/local/etc/openldap/slapd.conf, atau file dimana anda telah menkonfigurasi sebelumnya. ennable-ldbm with-ldbm-a

LDAP include /usr/local/etc/openldap/slapd.at.confinclude /usr/local/etc/openldap/sla pd.oc.conf shemacheckoff referral ldap://ldap.ee.itb.ac.idpidfile /usr/local/var/slapd.pidargsfile /usr/l ocal/var/slapd.args access to * by * write####################################################### # ldbm database definitions ####################################################### database ldbm suffix o=myorg, c=id directory /home/myhome/test-addrrootdn rootpw opensesame

cn=root,o=myorg, c=us

pada file slapd.oc.conf terdapat definisi object seperti contoh diatas inetOrg Person, dan pada slapd.at.conf ada definisi generik objek dan tipe dari atributnya. Schemacheck di-nonaktifkan dengan switch off Referral mengakibatkan server LDAP mengarahkan client untuk mencoba server LDAP yang lain (misalnya ldap://URL argumen) jika server benar-benar tidak dapat melayani permintaan client. Pidfile dan argsfile mengarahkan ke file mana perawatan informasi diarahkan. Access mengimplementasikan akses kontrol fitur server LDAP dengan menentukan siapa yang punya akses, mendapatkan hak apa saja pada direktori. access to * by * write .. akses tulis ke * oleh *; artinya setiap orang mempunyai hak akses ke semua entry pada direktori. Database menjelaskan server untuk memakai sebuah database sebagai backend dan directory menjelaskan server dimana aktual database dan indexnya jika ada. Selain ldbm yang dapat dijadikan database backend misalnya : passwd, shell, sql. Suffix yang dilewati sebagai prefix pada query yang dibuat direktori. Rootdn menunjuk root dari direktori yang menghandle fungsi administrator yang hanya dapa diakses dengan rootpw. EC7010 - Keamanan Sistem Lanjut Halaman 22

LDAP Sekali Lagi Tentang Kontrol Akses Berikut contoh opsi penggunaan kontrol akses : <access directive> ::= access to <what> [by <who> <access> <control>]+ <what> ::= * [ dn[.<target style>]=<regex>] [filter=<ldapfilter>] [attrs=<attrlist>] <target style> ::= regex base one subtree children<attrlist> ::= <attr> <attr> , <attrlist> <attr> ::= <attrname> entry children<who> ::= [* anonymous users self dn[.<subject style>]=<regex>] [dnattr=<attrname> ] [group[/<objectclass>[/<attrname>][.<basic style>]]=<regex> ] [peername[.<basic style>]=<regex>] [sockname[.<basic style>]=<regex>] [domain[.<basic style>]=<regex>] [sockurl[.<basic style>]=<regex>] [set=<setspec>] [aci=<attrname>] <subject style> ::= regex exact base one subtree

children <basic style> ::= regex exact<access> ::= [self]{<level> <priv>} <level> ::= none auth compare search read write<priv> ::= {= + -}{w r s c x}+ <control> ::= [stop continue break] <what> .. atribut apa yang akan di aplikasikan kontrol akses, <who> .. siapa yang punya hak akses Specifier Entities * Semua , termasuk anonymous dan authenticated users anonymous Anonymous (non-authenticated) users users Authenticated users self User ynag berasosiasi dengan target entry dn=<regex> Users yang sesuai dengan regular expression Tabel 1 entitas akses <access> .. bagian level mana yang akan dibatasi aksesnya Level Privileges Description none no access auth =x needed to bind compare =cx needed to compare search =scx needed to apply search filters read =rscx needed to read search results write =wrscx needed to modify/rename

Tabel 2 Level Akses <who><access><control> .. multiple option atau kombinasi opsi. EC7010 - Keamanan Sistem Lanjut Halaman 23

LDAP Beberapa contoh kontrol akses Berikut beberapa contoh akses yang sering dipakai : Access to * by * read Akses tersebut mengijinkan semua semua orang untuk dapat membaca Access to * By self writeBy anonymous authBy * read Mengijinkan user untuk memodifikasi data punyanya sendiri dan mengijinkan user yang ditunjuk untuk membaca. access to dn=".*,dc=example,dc=com" by * searchaccess to dn=".*,dc=com" by * read contoh diatas mencoba menerapkan regular expression untuk memilih entry dengan mengarahkan DN sebagai hal yang penting, artinya read access dibolehkan pada subtree dc=com, dan pencarian dibolehkan pada dc=example juga dc=com 1) access to dn="(.*,)?dc=example,dc=com" attr=homePhone by self write2) by dn="(.*,)?dc=example,dc=com" search3) by domain=.*\.example\. com read4) access to dn="(.*,)?dc=example,dc=com" by self write5) by dn=".*,dc=example,dc=com" searchby anonymous auth artinya : subtree dc=example,dc=com dapat dimodifikasi oleh masingmasing user, kecuali atribut homePhone1) , user yang bukan haknya hanya dapat hak searching saja2), dan user pada domain example.com dapat membacanya3). Sekarang atribut homePhone dapat di modifikasi oleh user4), user lain pada subtree searchable, juga oleh user yang terautentifikasi5). Menjalankan Server slapd Sebelum melakukan ini, kita contohkan data pada direktori sebagai berikut : dn: o=myorg, c=id o : myorg dn: mail=dika@students.ee.itb.ac.id, o=myorg, c=idcn: dika djmail: dika@students .ee.itb.ac.idlocality: bandungdescription: mahasiswa s2 it EC7010 - Keamanan Sistem Lanjut Halaman 24

LDAP telp: 62-22-2512810objectclass: topobjectclass: person dn: mail=misha@yahoo.com, o=myorg, c=idcn: Misha Muntaz mail: misha@yahoo.comlocality: Jakartadescription: mahasiswa s2 ilkom uitelp: 62 -21-55572810objectclass: topobjectclass: person contoh LDIF tersebut kita save pada myaddrdir.ldif untuk server OpenLDAP kita perlu menconversikan format LDIF tersebut ke format backend database dan di-insert ke database. Kita perlu menciptakan temporari file misalnya : /tmp/myslapd.conf $ /usr/local/sbin/ldif2ldbm i /tmp/myaddrdir.ldif f/tmp/myslapd.conf

opsi f menunjuk file yang akan dipakai untuk konversi, -i opsi insert LDIF ke database backend. $ /usr/local/libexec/slapd localhost p 9009 f /tmp/myslapd.conf d 5

perintah tersebut memulai server pada mesin lokal dengan alamat port 9009 dan memakai konfigurasi /tmp/myslapd.conf. argumen d 5 memakai debug level 5. Catatan: default port server LDAP 389 ; port 9009 dipakai karena port 389 di-set mempunyai kewenangan khusus yang root sebagai usernya. Sekarang server LDAP telah siap digunakan, untuk test kita coba memakai command-line ldapsearch $ /usr/local/bin/ldapsearch h localhost p 9009 c=id cn=*Misha* b o=myorg,

entry ini menunjuk ke misha pada direktori; flag b mengindikasikan DN sebagai suffix; kreteria yang di cari cn=*Misha* . atau memakai netscape communicator pada address book, ubah setting dapat mencari direktori yang dimaksud. Pada menu File New Directory pilih detail (server name localhost, port : 9009) sebagai direktori server baru lalu cari prefix pada kasus ini o=org, c=id. Tulis nama atribut misalnya Misha pada field search name. Well secara sederhana seperi itu menjalankan slapd, untuk modifikasi lebih lanjut dapat dibaca pada site : http://www.openldap.org/ EC7010 - Keamanan Sistem Lanjut Halaman 25

LDAP Kolaburasi LDAP dengan Aplikasi Lain Telah terbuktinya kehadalan metode LDAP ini untuk menangani data user diatas 10.000 user yang mempunyai kemampuan baca yang lebih cepat dibandingkan modifikasinya, LDAP jika dianalogikan seperti buku alamat yang sangat jarang diubah tapi sering dibaca. Banyak aplikasi yang menggabungkan LDAP sebagai address book. Contohnya OpenOffice, atau aplikasi webmail yang dibuat server-side scripting-nya menggunakan PHP plus layanan direktori memakai LDAP server. Terdapat banyak LDAP API yang disediakan PHP untuk memanjakan para web programmer menulis script-nya, hal tersebut dapat dilihat lebih lanjut di site http://www.php.org manual booknya PHP. Secara garis besar dibagi kedalam 3 kelompok : Fungsi koneksi dan relasi server LDAP. Fungsi pencarian. Fungsi modifikasi. Atau sebagai fungsi Autentifikasi proses login dan password pada proxy server seperti squid atau oops, sangat efektif dengan user yang banyak. Ada juga yang menyimpan data DNS dengan sistem direktori LDAP. Diantaranya adalah kolaburasi yang bagus dan handal jika ISP (internet service provider) memakai program open sources ini : openLDAP (the LDAP server) Postfix (salah satu MTA SMTP server yang paling cepat dan memberi dukungan pada LDAP), Cyrus imapd ( server IMAP/POP3) Cyrus SASL (authentification library dari Cyrus imapd) Apache (web server) Proftpd (ftp server yang support LDAP) Perl (untuk script) ISPMan (perangkat lunak untuk mengatur ISP) Bind (DNS software) pam_ldap (ldap module for authentification) IMP 2.2 (PHP based web mail client) Squid proxy server (mendukung LDAP) Sangat menarik jika kita mencoba mengkolaburasi open sourcers dari software diatas. Selain gratisan, di internet banyak berita bahwa kolaburasi ini sangat baik jika dikonfigurasikan dengan benar tentunya.

EC7010 - Keamanan Sistem Lanjut Halaman 26

Referensi 1. The OpenLDAP Project, 2000, OpenLDAP 2.0 Administrator's Guide, <http://www.openldap.org/> 2. Brad Marshall, 2003, LDAP Theory and Management, SAGE-AU Conf 2003, brad.marshall@member.sage-au.org.au 3. Jesus Castagnetto, Harist Rawat, Sascha Schumann, Chris Scollo, Deepak Veliath, 1999, Professional PHP Programming, Wrox press Ltd, Birmingham UK. 4. Heinz Johner, Michel Melot, Harri Stranden, Permana Widhiasta, 1999, LDAP Implementation Cookbook, International Technical Support Organization, http://www.redbooks.ibm.com,