190 likes | 514 Views
LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP). DAMAR APRI SUDARMADI MITA PRAMIHAPSARI TYA MARINA. OUTLINE. INTRODUCTION. LDAP adalah protokol kelas ringan untuk mengakses servis direktori, yang berdasarkan pada protokol servis direktori X.500. TCP/IP
E N D
LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP) DAMAR APRI SUDARMADI MITA PRAMIHAPSARI TYA MARINA
INTRODUCTION • LDAP adalah protokol kelas ringan untuk mengakses servis direktori, yang berdasarkan pada protokol servis direktori X.500. • TCP/IP • RFC 225l "The Lightweight Directory Access Protocol (v3)“ • RFC 4511, RFC 4512, RFC 4513 dll.
INTRODUCTION • RFC 4511 tentang protokol dari LDAP • RFC 4512 tentang Model Direktori Informasi pada LDAP. • RFC 4513tentang mekanisme otentikasi dan mekanisme keamanan dari LDAP.
INTRODUCTION • LDAP mengakses direktori yang menawarkan cara untuk mencari, mengambil, dan memanipulasi isi dari direktori, • akses tidak sah ke dalam direktori data melalui operasi pengambilan data. • akses tidak sah ke dalam data direktori melalui akses monitoring lainnya. • modifikasi data direktori yang tidak sah. • konfigurasi modifikasi informasi yang tidak sah. • Denial of Service. • Spoofing. • Hijacking.
INTRODUCTION • Otentikasi dengan cara operasi Bind. • Intergritas layanan data dengan cara lepisan keamanan pada Transport Layer Security (TLS) atau mekanisme SASL. • Server otentikasi dengan cara mekanisme protokol TLS atau SASL. • Penggunaan server administratif yang terbatas.
OTENTIKASI LDAP operasi Bind menyediakan tiga mekanisme otentikasi, mekanisme tersebut adalah • Sebuah mekanisme otentikasi anonim • Sebuah mekanisme otentikasi yang tidak berkepentingan, • Sebuah mekanisme otentikasi nama / sandi yang menggunakan kredensial yang terdiri dari nama dan password.
OTENTIKASI LDAP operasi Bind berfungsiuntukmengotentikasipesan yang ditukarantarakliendengan server. BindRequestberisi : • Versi, • Nama,. • Otentikasi,
OTENTIKASI LDAP • LDAP melindungimekanisme otentikasi password / nama menggunakan mekanisme TLS • Implementasi LDAP tidak mengijinkan penggunaan nama / password secara default. • Implementasi LDAP server harus mendukung pernyataan otoritas dari identitas klien melalui mekanisme EXTERNAL SASL. • LDAP server yang mendukung implementasi tidak mempunyai mekanisme otentikasi selain mekanisme otentikasi anonim yang mendukung penggunaan TLS,
OTENTIKASI LDAP • Operasi STARTTLS menyediakan kemampuan untuk membangun TLS dalam sesi LDAP. • protokol TLS pada LDAP => memastikan kerahasiaan data dan integritas, selain itu untuk opsional menyediakan otentikasi.
OTENTIKASI LDAP • Setiap sesi LDAP memiliki Authorization State atau otoritas State. • State terbagi dari beberapa faktor • Faktor dapat ditentukan atau dipengaruhi oleh protokol dan terdapat beberapa faktor yang dapat ditentukan oleh peristiwa eksternal
OTENTIKASI LDAP • Operasi Bind pada RFC 4511 memungkinkan untuk mengotentikasi pesan yang ditukar antara klien dengan server. • Permintaan Bind biasanya menentukan otentikasi identitas yang diinginkan. • memungkinkan Klien untuk menentukan otoritasi dari identitas. • Jika otorisasi identitas di tentukan, maka server harus memverifikasi otentikasi identitas dari klien. • Sebaliknya, jika otorisasi identitas tidak di tentukan, maka server akan mengotentikasi identitas secara khusus.
PRINSIP KERJA LDAP • klienmengirimkan permintaan protokol menggambarkan operasi yang akan dilakukan untuk server. • Serverkemudian bertanggung jawab untuk melakukan operasi yang diperlukan dalam Direktori. • Setelah menyelesaikan suatu operasi, server mengembalikan sebuah respon yang biasanya mengandung data yang sesuai ke klien yang meminta. Protokol operasi umumnya independen satu sama lain. Setiap operasi diproses sebagai tindakan atom, meninggalkan direktori dalam keadaan yang konsisten. Permintaan dan tanggapan untuk beberapa operasi secara umum dapat dipertukarkan antara klien dan server dalam urutan apapun. Jika diperlukan, sinkron dapat dikontrol oleh aplikasi client.
PRINSIP KERJA LDAP SERVER LDAP menggunakanmodel X.500(93)
KEKURANGAN LDAP (-) Terdapatkemungkinan client mengakses server yang berbeda-bedamelalui URL (-) URL bekerjaotomatistanpamelibatkanpengguna password kemungkinanakandigunakankembalisecaraotomatis (-) kemungkinan server melakukanpenyalahgunaandanpenyadapan
kELEBIHAN LDAP (+) Proses otentikasidilakukandengansederhana (+) Terdapatmekanisme yang menjaminkerahsiaan data danintegritas data