NETWORK ADMINISTRATOR

User Management

DANIE YOGA K.
NIM. 1108605024
I GUSTI AGUNG BAGUS PREMA PRADANA
NIM. 1108605026
I DEWA PUTU SATRIA LAKSANA
NIM. 1108605028
ANGGARDA SANJAYA
NIM. 1108605034

JURUSAN ILMU KOMPUTER

FAKULTAS MATEMATIKA DAN ILMU PENGETAHUAN ALAM
UNIVERSITAS UDAYANA
BUKIT JIMBARAN
2014

KATA PENGANTAR
Om Swastyastu,
Puja dan puji syukur kami panjatkan kehadapan Ida Sang Hyang Widhi
Wasa / Tuhan Yang Maha Esa, atas asung kertha wara nugraha_Nya sehingga
kami dapat menyelesaikan laporan tugas mata kuliah Network Administrator
dengan judul User Management.
Kami menyadari bahwa terdapat banyak kekurangan yang terkandung
dalam paper yang kami kerjakan ini, untuk itu kritik dan saran yang konstruktif
dari para dosen mata kuliah Network Administrator yang budiman sangat kami
harapkan.
Semoga pikiran yang baik datang dari segala penjuru.

Om Santih, Santih, Santih Om

Bukit Jimbaran, Maret 2014

Kelompok 3

DAFTAR ISI

DAFTAR ISI............................................................................................................ 2
DAFTAR GAMBAR................................................................................................3
BAB I ...................................................................................................................... 5
PENDAHULUAN....................................................................................................5
1.1.Latar Belakang............................................................................................... 5
1.2.Tujuan.............................................................................................................5
1.3.Manfaat.......................................................................................................... 5
BAB II .....................................................................................................................6
LANDASAN TEORI............................................................................................... 6
2.1 Otentifikasi dan Keamanan Untuk Jaringan..................................................6
2.1.1 Prinsip keamanan jaringan.................................................................. 6
2.1.2 ACL, NTLM dan Definisi-definisi Lainnya........................................6
2.1.3 Hash dalam keamanan jaringan.......................................................... 6
2.1.4 Enkripsi dalam keamanan jaringan..................................................... 6
2.1.5 Contoh Produk Otentikasi User, antara lain :......................................7
2.2 User Manajemen LDAP................................................................................ 7
2.2.1

Pengertian LDAP......................................................................................... 8
2.2.2 Konsep Dasar LDAP...........................................................................8
2.3 User Manajemen Active Directory................................................................8
2.3.1 Definisi................................................................................................8
2.3.2 Struktur Active Directory....................................................................8
2.4 Single Sign-On.............................................................................................. 9
2.4.1 Definisi SSO........................................................................................9
2.4.2 Pendekatan Sistem Single Sign-On...................................................10
2.4.3 Arsitektur Sistem Single Sign-On..................................................... 10
BAB III ..................................................................................................................12
PENUTUP..............................................................................................................12
3

3.1 Kesimpulan..................................................................................................12
DAFTAR PUSTAKA.............................................................................................13
LAMPIRAN...........................................................................................................14

DAFTAR GAMBAR

BAB I
PENDAHULUAN
1.1.

Latar Belakang

Dizaman sekarang di era informasi yang semakin maju, menyebabkan

kebutuhan jaringan komunikasi yang mempermudah pengguna berkomunikasi
dengan pengguna lainnya. Hal ini menyebabkan semakin banyaknya pengguna
yang ada dalam jaringan komunikasi sehingga diperlukan direktori yang
menampung informasi-informasi penting pengguna dan bagaimana memanajemen
pengguna.
Dalam laporan ini akan membahas hal mengenai autentifikasi user pengguna,
user manajemen LDAP, user manajemen active directory, dan single sign on.
1.2.

Tujuan

Tujuan dari laporan ini adalah agar pembaca dapat mempelajari autentifikasi
pengguna dan konsep manajemen user
1.3.

Manfaat

Manfaat dari laporan ini adalah agar pembaca mengetahui sutentifikasi

pengguna dan konsep manajemen user

BAB II
LANDASAN TEORI
2.1 Otentifikasi dan Keamanan Untuk Jaringan
2.1.1 Prinsip keamanan jaringan
1. Kerahasiaan (confidentiality), dimana object tidak di umbar atau
dibocorkan kepada subject yang tidak seharusnya berhak terhadap
object tersebut, atau lazim disebut tidak authorize.
2. Integritas (Integrity), bahwa object tetap orisinil, tidak diragukan
keasliannya, tidak dimodifikasi dalam perjalanan nya dari sumber
menuju penerimanya.
3. Ketersediaan (Availability), dimana user yang mempunyai hak
akses atau authorized users diberi akses tepat waktu dan tidak
terkendala apapun.

2.1.2 ACL, NTLM dan Definisi-definisi Lainnya

Sebelum kita membahas lebih jauh, akan dikemukakan istilah-istilah
yang sering digunakan untuk pengendalian hak akses terhadap sistem.
a. Access Control Lists (ACLs)
Setiap ACL merupakan

daftar

dari

kendali

akses

yang

menunjukkan hak akses dan informasi untuk audit yang digunakan

oleh sistem, misalnya oleh Windows NT atau oleh proxy server.
Didalam Windows NT, ACLs ini akan digunakan bersama-sama
dengan sistem akses file sytem NTFS (New Technology File
System). Windows NT menggunakan daftar ini untuk melihat siapa
saja yang telah diberikan hak untuk mengakses sumber daya
tertentu (file atau folder) dan hak apa yang telah diberikan
kepadanya, seperti membaca, menulis dan mengeksekusi. Didalam
sistem file UNIX, hak akses ini dapat dilihat dari bit-bit kode akses
yang meliputi akses untuk user, akses untuk group user serta akses
untuk global user. Akses untuk user berlaku untuk user yang
besangkutan, akses untuk group user berlaku untuk user-user lain
7

yang masih berada dalam satu group dengan user yang

bersangkutan sedangan akses global user berlaku untuk user yang
tidak berada dalam satu group dengan user yang bersangkutan.
Setiap file dalam file sistem UNIX memiliki bit-bit pengendali
tersebut.

b. Challenge/Response
Proses otentifikasi melibatkan prosedur challenge/response
yang terjadi pada saat dimulainya sebuah otentifikasi. Ketika
seorang pemakai ingin meminta hak akses kepada sistem maka
sistem akan mengirimkan challenge kepada pemakai kemudian
pemakai

mengirimkan

kode

yang

sesuai.

Sistem

akan

membandingkan kode yang dikirimkan oleh pemakai dengan kode

yang ada didalam database. Jika ada kecocokan maka sistem akan
memberikan hak akses sesuai dengan hak yang dimiliki oleh
pengguna yang bersangkutan. Contohnya, pada saat seorang
administrator Web ingin mengakses IIS (Internet Information
Service) di Windows NT maka proses challenge/response terjadi
agar sistem dapat memberikan hak akses yang sesuai. Contoh lain
dalam sistem UNIX yang menggunakan one-time password,
seorang pemakai yang ingin melakukan koneksi terminal (telnet)
ke dalam sistem harus memasukkan password sebelum sistem
memberikan

hak

akses

terhadap

terminal.

Proses

challenge/response yang terjadi disini yaitu pemakai menghubungi

server melalui port telnet (21), kemudian server membentuk hash
serta challenge key. Pemakai kemudian membalas challenge key
tersebut dengan one-time-password yang sesuai. Selanjutnya
response/jawaban dari pemakai akan dibandingkan dengan
database yang ada didalam sistem, sebelum diputuskan untuk
memberikan akses atau tidak.

c. NTLM
NTLM adalah teknik otentifikasi Challenge/Response yang
digunakan oleh Window NT. NTLM singkatan dari Windows NT
LAN Manager, sebab teknik ini dikembangkan pertama kali dan
digunakan oleh Microsoft LAN Manager

d. One-Time-Password
One-Time-Password adalah teknik otentifikasi Challenge/Response
yang sering digunakan oleh UNIX system. Dengan teknik ini
sebuah password hanya dapat digunakan satu kali dimana response
yang sesuai akan diminta oleh sistem, berdasarkan challenge key
yang diberikan pada saat proses otentifikasi.
e. SAM
SAM atau kepanjangan dari Security Account Manager adalah
database yang berisi data pemakai dan group. SAM tidak
menyimpan password dalam bentuk ASCII tetapi dalam bentuk
hash. SAM digunakan oleh Windows NT dan terletak di
HKEY_LOCAL_MACHINE\SAM

dan

HKEY_LOCAL_MACHINE\Security\SAM
2.1.3 Hash dalam keamanan jaringan
Dalam sebuah sistem terbuka, dimana komunikasi berlangsung
melewati beberapa, ratusan bahkan ribuan komputer lainnya yang
terhubung dalam jaringan maka pengiriman data dari satu tempat ke
tempat lainnya akan sangat rawan terhadap penyadapan. Bagaimana
jika hal ini terjadi sesaat sebelum proses otentifikasi berlangsung.
Seorang sniffer (penyadap data yang dikirimkan melalui internet)
dapat mengendus password dan nama pemakai yang dikirimkan
melalui jaringan. Untuk mengatasi hal ini maka dibuatlah algoritma
hash, dimana password akan tersimpan dalam bentuk lain setelah
diproses melalui algoritma hash tersebut. Algoritma standar hash yang
sering digunakan adalah MD4 yang akan menghasilkan 16 byte (128
9

bit) hash, atau dengan kata lain, berapapun panjang bit yang
dimasukkan dalam algoritma ini, maka panjang bit keluaran hasil hash
adalah 16 byte (128 bit). Secara teoritis sangatlah tidak mungkin untuk
menggabungkan hash dan algoritma yang dipakai serta kemudian
melakukan proses revers secara matematis untuk memperoleh
password yang bersesuaian. Atau dengan kata lain, proses hash hanya
berlangsung satu arah dan bukan proses yang dapat dibalik.
2.1.4 Enkripsi dalam keamanan jaringan
Selain beberapa definisi serta teknik yang disebutkan diatas, salah
satu teknik yang sangat penting adalah enkripsi. Coba bayangkan pada
saat kita melakukan koneksi terminal (telnet , port 21) pada jaringan
kita dari Jakarta ke Surabaya melalui Internet yang notabene melalui
ratusan bahkan ribuan router. Dalam spesifikasinya, komunikasi
terminal tersebut mentransmisikan data-data dalam bentuk text ASCII.
Jika kemudian ada seorang sniffer yang mengendus data-data yang
ditransmisikan antara komputer server dengan terminal kita maka datadata tersebut akan dengan mudah terbaca. Jika kemudian kita
membaca email yang ada dalam server kita, maka sniffer tadi juga
dapat ikut membaca email yang kita baca.
Untuk mengatasi hal tersebut diatas maka diciptakan sistem
enkripsi dimana data-data yang dikirimkan sudah dalam bentuk
terenkripsi. Untuk melakukan enkripsi dibutuhkan kunci pembuka
yang harus diketahui oleh server dan pengguna. Akan tetapi jika
seorang sniffer dapat mengendus kunci pembuka tersebut, maka dia
juga dapat membuka data-data komunikasi antara pemakai dan server.
Oleh karena itu diciptakan teknik enkripsi dengan kunci publik dari
RSA, dimana kunci publik dapat disebarluaskan secara bebas,
sementara kunci privat disimpan secara rahasia. Seorang pemakai yang
ingin melakukan koneksi kemudian memberikan kunci publiknya
kepada server serta mengambil kunci publik server. Pengguna yang
bersangkutan kemudian melakukan enkripsi dengan kunci privat
miliknya serta kunci publik milik server kemudian mengirimkan data
10

tersebut kepada server. Server kemudian melakukan de enkripsi

dengan menggunakan kunci privat miliknya serta kunci publik milik
pengguna yang bersangkutan. Dengan demikian meskipun data dapat
diendus oleh sniffer, namun data tersebut tidak dapat diintepretasikan
dengan baik dan benar.

2.1.5 Contoh Produk Otentikasi User, antara lain :

a.

Secureid ACE (Access Control Encryption)

System token hardware seperti kartu kredit berdisplay, pemakai akan

menginput nomor pin yang diketahui bersama, lalu memasukkan
pascode bahwa dia pemilik token.

b.

S/key (Bellcore)

System software yang membentuk one time password (OTP)

berdasarkan informasi loginterkhir dengan aturan random tertentu.

c.

Password Authentication Protocol (PAP)

Protokol dua arah untuk PPP (Point to point Protocol). Peer mengirim
pasangan user id dan password, authenticator menyetujuinya.

d.

Challenge Handshake Authentication Protocol (CHAP)

S/key pada PAP, protocol 3 arah, authenticator mengirim pesan

tantangan ke peer, peer menghitung nilai lalu mengirimkan ke
authenticator, authenticator menyetujui otentikasi jika jawabannya
sama dengan nilai tadi.

e.

Remote Authentication Dial-in User Service (RADIUS)

Untuk hubungan dial-up, menggunakan network access server, dari

suatu host yang menjadi client RADIUS, merupan system satu titik
akses.
11

f.

Terminal Access Controller Access Control System (TACACS)

Protokol keamanan berbasis server dari CISCO System. Secury\ity

Server terpusat dangan file password UNIX, database otentikasi,
otorisasi dan akunting, fungsi digest (transmisi password yang tidak
polos)
2.2 User Manajemen LDAP
2.2.1

Pengertian LDAP
LDAP (Light Weight Directory Access Protocol) merupakan
sebuah protokol yang mengatur pelayanan akses direktori (directory
service) yang memungkinkan dapat digunakan untuk mendeskripsikan
segala informasi baik itu resource organisasi, perorangan dan identitas
yang lainnya.
LDAP

menggunakan

model

client-server,

dimana

client

mengirimkan identifier data kepada server menggunakan protokol

TCP/IP dan server mencoba mencarinya pada DIT (Directory
Information Tree) yang tersimpan di server. Bila di temukan maka
hasilnya akan dikirimkan ke client tersebut namun bila tidak maka
hasilnya berupa pointer ke server lain yang menyimpan data yang di
cari. Terdapat dua service utama pada LDAP yaitu slapd yang
merupakan LDAP daemon dan slurpd yang merupakan replication
daemon. Slapd melayani request dari client, query dan berkomunikasi
dengan backend database sedangkan slurpd melayani replikasi data
agar terus terjadi sinkronisasi data antara client dan server, dan untuk
memfasilitasi pengisian dan perubahan informasi data dalam direktori
di gunakanlah LDIF (LDAP Data Interchange Format)
12

LDAP diciptakan di University Of Michigan dan sifat yang

dimilikinya yaitu lightweight merupakan hal yang bertolak belakang
terhadap DAP yang merupakan bagian dari directory protocol X.500
untuk jaringan ataupun network. LDAP memiliki karekteristik lebih
ringan dan sederhana. LDAP juga dapat kita gunakan untuk melakukan
route terhadap email dalam suatu organisasi yang cukup besar atau
dapat juga digunakan untuk mencari seseorang dan mesin didalam
sebuah jaringan/network yang bersifat public maupun private. Sudah
cukup banyak e-mail client saat ini,misalnya Microsoft Outlook,
Eudora dan Netscape Communicator yang telah menggunakan suatu
bentuk dari database LDAP untuk mencari suatu alamat email.
2.2.2 Konsep Dasar LDAP
Dalam mempelajari LDAP dibutuhkan pemahaman direktori dan
fungsinya. Direktori dapat berupa personal address book, phone book,
yellow pages bahkan web direktori seperti Yahoo. Direktori dapat
membantu untuk menemukan informasi yang dibutuhkan, sebagai
contoh yellow pages.
Dalam terminologi komputer, directory service bisa dikatakan
sebagai suatu database tempat penyimpanan data, yang dapat
digunakan untuk memberikan

informasi-informasi yang berkaitan

dengan objeknya. Bagian direktori mungkin dapat berisi kumpulan

informasi tentang pengguna seperti
number,

User ID,

sure name, first name, phone

mail address dan lain sebagainya. Untuk

memudahkan pemahaman tentang konsep direktori ini, dijelaskan

melalui model seperti gambar dibawah ini

13

Gambar . Konsep Dasar LDAP

Secara prinsip struktur database pada suatu directory service adalah

hierarki seperti yang ditunjukkan pada gambar diatas. Suatu directory
service akan memiliki item yang dijadikan sebagai root. Untuk sebuah
titik root, secara umum ditunjukkan dengan suatu attribut dc (Domain
Component) atau o (Organization) mungkin juga ou (Organization
Unit). Kemudian pada titik daun (leaf) biasanya akan berisi item
dengan attribut

uid

(User ID) ataupun

cn (Common Name).

Directory service biasanya menyimpan informasi dalam bentuk

struktur

tree yang dinamakan Directory Information Tree (DIT).

Setiap titik pada DIT diberi suatu alamat, baik secara relatif maupun
secara absolut. Untuk suatu alamat relatif sering disebut sebagai RDN
(Relative Distinguish Name) sedangkan alamat yang absolut di sebut
sebagai DN (Distinguish Name). Jadi misalnya ingin mendapatkan
informasi tentang pengguna dapat dituliskan pencariannya dengan
dn=uid=rsukmana, ou=people, dc=smartbee, dc=com.
Ada tiga hal yang sebaiknya diketahui dalam membangun sebuah
server LDAP, yaitu:
Schema mendefinisikan seperangkat aturan yang mendeskripsikan
jenis data apa saja yang akan disimpan, schema sangat membantu

14

untuk menjaga konsistensi dan kualitas data sehingga mengurangi

terjadinya duplikasi data.
ObjectClass merupakan sekumpulan entri yang menginformasikan
jenis

group, dan membutuhkan atribut yang biasanya terdiri atas

attribute names, attribute type dan attribute syntax yang semuanya

terkumpul dalam suatu data valid pada setiap kelasnya.
Attribute merupakan entri yang bersifat unik seperti uid, cn, sn ,ou,
o, dc dan lain sebagainya, attribute sendiri dapat merupakan single
value maupun multiple value.
Informasi pada LDAP disimpan dalam entry. Layaknya entry pada
basis data umunya, setiap entry memiliki beberapa atribut. Setiap
atribut dapat memiliki satu atau lebih nilai. Namun, jika pada basis
data kita memiliki primary key untuk membedakan suatu entry dengan
entry lainnya, dalam LDAP kita memiliki Distinguished Name (DN)
yang bernilai unik untuk tiap entry. DN didapat dengan merunutkan
lokasi entry hingga akar hirarki.
2.3

User Manajemen Active Directory

2.3.1 Definisi
Active Directory adalah layanan direktori yang dimiliki oleh sistem
operasi jaringan Microsoft Windows server 2000, Windows server 2003
dan

Windows Server 2008. Selain itu, Active Directory merupakan

layanan directory yang terdapat pada system operasi server. Active

Directory terdiri atas basis data dan juga layanan directory. Active
Directory menyediakan sarana untuk mengelola identitas dan hubungan
yang membentuk organisasi. Active Directory yang ada pada Windows
Server 2008 R2 menyediakan berbagai fungsi untuk melakukan
konfigurasi yaitu: administarasi system, pengguna (user), group, computer,
dan pencarian directori. Active Directory juga memberikan cara untuk
mengelola credential untuk mengizinkan pengguna yang sah yang dapat
mengakses baik itu perangkat aplikasi maupun data.
15

Fitur-fitur yang ditawarkan Active Directory antara lain :

1.

Simplified Administration : Active Directory menyediakan

single point dalam hal administrasi semua sumber daya jaringan.

Seorang administrator dapat melakukan login dari komputer
manapun di dalam jaringan dan melakukan konfigurasi terhadap
obyek dan setiap komputer dalam jaringan.
2.

Scalability : Active Directory mampu mengelola sampai

dengan jutaan obyek, dibandingkan arsitektur Windows NT yang

hanya mampu menangani maksimal 40000 obyek dalam satu
domain.
3.

Open Standard : Active Directory kompatibel dan

mendukung berbagai protokol dan teknologi standar yang ada, antara

lain

LDAP

dan

LDIF,

sehingga

Active

Directory

dapat

berkomunikasi dengan Novell Directory Service dan teknologi lain

yang menggunakan LDAP. Support terhadap HTTP memungkinkan
Active Directory diakses dari web browser dan berbagai bahasa
pemrograman pengakses data. Windows 2000 juga mengadopsi
Kerberos 5 sebagai protokol otentifikasinya, sehingga kompatibel
dengan berbagai produk yang menggunakan protokol sejenis. Sistem
penamaan domain dalam AD menggunakan standar DNS name,
sehingga nama domain Windows 2000 merupakan standar penamaan
domain yang digunakan di internet, maka lebih mudah melakukan
koneksi dengan internet.
2.3.2 Struktur Active Directory
Active Directory terdiri dari berbagai obyek, yang merupakan
representasi obyek-obyek yang terdapat di dalam jaringan baik
hardware, user, maupun domain.
1.

Object adalah istilah yang digunakan untuk menyebut suatu

unit tertentu yang terdapat di dalam jaringan, misalnya user,

group, printer, ataupun shared folder.
16

2.

Container

merupakan wadah yang di dalamnya terisi

berbagai macam obyek.

3.

Organizational Unit (OU) adalah representasi Container

yang didalamnya berisi berbagai macam obyek. OU merupakan

kesatuan terkecil dimana pengaturan Group Polivy dalam AD
dapat diterapkan. Biasanya OU tersebut mencerminkan kesatuan
organisasi tertentu dalam jaringan, misalnya dapat didefinisikan
OU untuk Sales, Marketing, Direksi, dan sebagainya.
4.

Domain

merupakan kesatuan jaringan terkecil, yang

didalamnya berisi berbagai obyek dan OU. Domain merupakan

security boundary, sehingga seluruh obyek dalam satu domain
berada dalam otoritas security yang sama. Sebuah organisasi
dapat memiliki lebih dari satu domain dalam jaringannya,
tergantung pada kebutuhan bisnis maupun policy keamanannya.
5.

Tree adalah gabungan dari beberapa domain yang masing-

masing masih berada dalam satu induk namespace. Misalnya

dibentuk suatu tree dengan induk domain matrik.com, dan di
level bawahnya terdapat dua domain bernama sales.matrik.com
dan developer.matrik.com.
6.

Forest adalah beberapa tree dapat bergabung menjadi

sebuah forest dan masing-masing domain tersebut menggunakan

namespace yang berbeda. Domain yang berada dalam satu forest
menggunakan global catalog yang sama, sehingga informasi
konfigurasi dan obyek jaringan antar domain dalam satu forest
dapat saling pertukarkan dan diakses secara terpusat.

2.4

Single Sign-On
2.4.1 Definisi SSO
Teknologi Single Sign-On (sering disingkat menjadi SSO) adalah
sistem yang mengizinkan pengguna agar dapat mengakses seluruh sumber
17

daya dalam jaringan hanya dengan menggunakan satu credential saja.

Sistem

ini

tidak

memerlukan

interaksi

yang

manual,

sehingga

memungkinkan pengguna melakukan proses sekali login untuk mengakses

seluruh layanan aplikasi tanpa berulang kali mengetikan passwordnya.
Teknologi ini sangat diminati dalam jaringan yang sangat besar dan
bersifat heterogen, dimana sistem operasi serta aplikasi yang digunakan
berasal dari banyak vendor, dan pengguna diminta untuk mengisi
informasi dirinya ke dalam setiap multi-platform yang hendak diakses.
Sistem Single Sign-On menghindari login ganda dengan cara
mengidentifikasi subjek secara ketat dan memperkenankan informasi
otentikasi untuk digunakan dalam sistem atau kelompok sistem yang
terpercaya. Sistem SSO dapat meningkatkan kegunaan jaringan secara
keseluruhan dan pada saat yang sama dapat memusatkan pengelolaan dari
parameter sistem yang relevan.
Pengguna layanan dapat lebih menyukai sistem Single Sign-On
dari pada sistem sign-on biasa, namun pengelola layanan jaringan
memiliki banyak tugas tambahan yang harus dilakukan, seperti perlunya
perhatian ekstra untuk menjamin bukti-bukti otentikasi agar tidak tersebar
dan tidak disadap pihak lain ketika melintasi jaringan. Secara umum
gambaran perbedaan sistem Single Sign-On dan sistem sign-on dapat lihat
dari gambar dibawah

18

Gambar . Gambaran Sistem Sign-On

Gambar . Gambaran Sistem Single Sign-On

Beberapa arsitektur dari sistem SSO telah muncul, masing-masing
dengan berbagai keunggulan dan infrastruktur yang berbeda. Pada
umumnya sistem SSO memiliki beberapa keuntungan, antara lain :
1.

Pengguna tidak perlu mengingat banyak username dan

password. Cukup dengan satu credential, sehingga pengguna

cukup melakukan proses otentikasi sekali saja untuk mendapatkan
izin akses terhadap semua layanan aplikasi yang tersedia di dalam
jaringan.
2.

Kemudahan pemrosesan data.Jika setiap layanan aplikasi

memiliki data pengguna masing-masing, maka pemrosesan data

pengguna (penambahan, pengurangan, perubahan) harus dilakukan
pada setiap aplikasi yang ada. Sedangkan dengan menggunakan
sistem SSO, cukup hanya melakukan sekali pemrosesan pada
server database backend-nya. Hal ini menyatakan bahwa
19

penggunaan sistem SSO meningkatkan efisiensi waktu dan

kepraktisan dalam memproses data.
3.

Tidak perlu membuat data pengguna yang sama di setiap

aplikasi Karena setiap layanan aplikasi dalam jaringan dapat

terhubung langsung dengan server database backend ini, maka
hanya dengan sekali saja menginput data kedalam database,
credential pengguna akan valid di seluruh layanan aplikasi.
4.

Menghemat biaya untuk pemeliharaan password. Ketika

harus me-reset password karena pengguna lupa pada passwordnya, pengelola layanan tidak perlu menghabiskan waktu dan
bandwith untuk menemukan data credential pengguna.
Selain mendatangkan manfaat, sistem SSO juga dapat mendatangkan
kerugian, antara lain:
1.

Pentingnya kesadaran pengguna untuk merahasiakan data

credential dan menjaga keadaan login-nya. Bila masih dalam

keadaan login, pengguna yang tidak sah dapat memakai mesin
yang ditinggalkan pengguna sahnya.
2.

Kerumitan mengimplementasikan sistem SSO kedalam

sebuah jaringan yang heterogen dan multiplatform, sehingga

banyak pengelola layanan jaringan kurang begitu giat dalam
mengimplementasikannya.
3.

Kelemahan dalam hal keamanan. Jika password sistem

pengelola layanan jaringan diketahui oleh orang yang tidak berhak,

maka orang tersebut dapat melakukan perubahan terhadap semua
data yang ada didalam sistem.
4.

Titik Kegagalan Tunggal (Single point failure). Karena

setiap layanan aplikasi bergantung kepada sistem Single Sign-On,

sistem ini dapat menjadi suatu titik kegagalan bila tidak dirancang
dengan baik. Kondisi apapun yang dapat menyebabkan sistem SSO
20

padam, mengakibatkan pengguna tidak dapat mengakses seluruh

layanan aplikasi yang dilindungi oleh sistem SSO tersebut.

2.4.2 Pendekatan Sistem Single Sign-On

Secara umum SSO diimplementasikan sebagai sebuah
model otentikasi yang independen yang mana seluruh aplikasinya
menggunakan modul otentikasi berbasis SSO untuk mengesahkan
pengguna. Ketika pengelola layanan memilih untuk.
mengaplikasikan sistem SSO, maka dapat dipilih salah satu dari
tiga pendekatan SSO berikut:
1.

Pendekatan

Terpusat

(Centralized

Approaches)

Pendekatan ini mempunyai sebuah lokasi yang terpusat

dimana seluruh identifikasi disimpan. Server SSO bertindak
sebagai perantara untuk mendistribusikan identifikasi ketika
dibutuhkan dan sampai pada otentikasi / otorisasi pengguna
jika diperlukan. Biasanya hal ini membutuhkan pergantian
aplikasi untuk mengintegrasikan dengan server SSO.
Teknologi pada Microsofts .NET Passport menggunakan
pendekatan ini.
2.

Pendekatan Distribusi (Distributed Approaches)

Pendekatan

ini

mengijinkan

kumpulan

pernyataan

identifikasi yang dilokalisasikan dari tiap-tiap aplikasi

dengan diteruskan menggunakan komponen client-based
(berbasis klien). Oleh karena tu pengguna memiliki kendali
penuh terhadap komponen klien dan profil/password
disinkronkan ke pusat server. Satu dari keuntungan
pendekatan ini adalah bahwa jika seorang penyerang
(attacker) mendapatkan akses informasi dari sistem, dia
hanya akan menemukan akses ke informasi dari database
yang sedang berjalan dari sistem tersebut.
3.

Pendekatan

21

Pendekatan ini menyediakan identifikasi terpusat dan

layanan

manajemen

otentikasi

yang

sejalan

dengan

kumpulan pernyataan identifikasi yang dilokalisasikan.

Hampir seluruh dari produk dan arsitektur SSO yang
sekarang berdasarkan pada model ini. Pendekatan ini
menyediakan manfaat yang paling besar dari kedua
pendekatan terpusat dan distribusi.
Model yang dari sistem SSO yang digunakan berdasarkan
pada pendekatan federasi, dan pendekatan ini menggunakan
konsep cookie untuk aplikasi berbasis web. Karakteristik
cookie memperbolehkan web server untuk mengendalikan
pengguna mereka (web browser) secara lengkap. Pendekatan
dari sistem SSO berbasis konsep cookie dapat ditunjukkan
pada gambar dibawah.

Gambar . Pendekatan sistem SSO Berbasis Konsep Cookie.

2.4.3 Arsitektur Sistem Single Sign-On

Solusi sistem SSO didasarkan pada salah satu dari dua tingkat
pendekatan, yaitu pendekatan script dan pendekatan agent.
Pendekatan agent lebih digunakan dalam Tugas Akhir ini karena
dianggap lebih cocok untuk layanan aplikasi berbasis web atau

22

dikenal juga sebagai service provider (SP). Gambar dibawah

menunjukkan pembagian dari pendekatan sistem SSO.

Gambar . Pendekatan Sistem SSO.

Agent merupakan sebuah program kecil yang berjalan pada tiaptiap web server. Agent ini membantu mengkoordinir aliran kerja
dari sistem SSO dalam hal otentikasi pengguna dan penanganan
sesi. Solusi dari arsitektur sistem SSO ditunjukkan oleh Gambar
dibawah.

Gambar . Arsitektur Sistem SSO.

Arsitektur Sistem SSO memiliki dua bagian utama, yaitu

agent yang berada di web server /Layanan aplikasi dan sebuah
server SSO berdedikasi yang mana akan dijelaskan berikut ini:

23

Agent: Sebuah agent akan menterjemahkan setiap permintaan

HTTP yang masuk ke web server. Hanya ada satu agent di tiap-tiap
web server, yang mana host bagi layanan aplikasi. Agent tersebut
akan berinteraksi dengan web browser pada sisi pengguna, dan
dengan server SSO pada sisi layanan aplikasi.
SSO server: Server SSO menggunakan cookies temporer
(sementara) untuk menyediakan fungsi manajemen sesi. Sebuah
cookies terdiri dari informasi seperti user-id, session-id, session
creation time, session expiration time dan lain-lain.
Produk-produk sistem SSO yang berbasis open source yang umum
digunakan saat ini seperti CAS (Central Authentication Service),
OpenAM (Open Access Manager), dan JOSSO (Java Open Single
Sign-On).

24

BAB III
PENUTUP
1.
2.
3.
3.1 Kesimpulan
Authentification adalah proses dalam rangka validasi user pada saat
memasuki sistem, nama dan password dari user di cek melalui proses yang
mengecek langsung ke daftar mereka yang diberikan hak untuk memasuki sistem
tersebut. Metode autentikasi bisa dilihat dalam 4 kategori metode Something you
know, Something you have, Something you are, Something you do.
Beberapa user manajement yang ada diantaranya adalah :

LDAP (Light Weight Directory Access Protocol) merupakan sebuah

protokol yang mengatur pelayanan akses direktori (directory service) yang
memungkinkan dapat digunakan untuk mendeskripsikan segala informasi
baik itu resource organisasi, perorangan dan identitas yang lainnya.

Active Directory adalah layanan direktori yang dimiliki oleh sistem

operasi jaringan Microsoft Windows

Single Sign-On adalah sebuah mekanisme yang memungkinkan anda

mengakses berbagai layanan hanya dengan sekali mengauthentikasikan
diri anda.

25

26

DAFTAR PUSTAKA

Universitas Sumatera Utara. Bab 2 Single Sign-On, Kerberos, dan LDAP.

http://repository.usu.ac.id/bitstream/123456789/31207/3/Chapter%20II.pdf
Diakses pada tanggal 20 Maret 2014 pukul 09:30 WITA
Ratdian Cipta Sukmana. Pengenalan LDAP.
http://read.pudn.com/downloads165/sourcecode/unix_linux/756149/Pengenalan
%20LDAP.pdf
Diakses pada tanggal 20 Maret 2014 pukul 09:31 WITA

27

LAMPIRAN

Instalasi LDAP Server dan Konfigurasi Phpldapadmin

Untuk menginstall ldap server, perintah yang digunakan adalah sebagai berikut :
# apt-get install slapd ldap-utils phpldapadmin
Langkah selanjutnya adalah mengkonfigurasi slapd. Perintah yang digunakaj
antara lain :
#dpkg-reconfigure slapd
Maka akan mucul seperti gambar dibawah ini

pertama akan ditanyakan Omit OpenLDAP server configuration? Pilih saja

No.Tekan enter untuk ke langkah selanjutnya

28

Di isi dengan nama domain yang akan dibuat,dimana nama domain ini nantinya
akan dijadikan Base DN dari LDAP directorynya.disini kami menggunakan nama
domainnya adalah kelompok3.com. lalu tekan enter untuk melanjutkan
konfigurasi

untuk nama organisasi kelompok kami menggunakan ilkom untuk nama

organisasi dari domainnya, enter untuk melanjutkan ke langkah berikutnya

29

Diatas merupakan langkah konfigurasi untuk password dari administrator LDAP

servernya.kelompok kami menggunakan password kelompok3 , enter untuk
melanjutkan

Langkah diatas adalah langkah konfigurasi backend database yang akan

digunakan untuk databasenya.Disini kami menggunakan BDB sebagai backen
databasenya.

30

Pilih no untuk langkah diatas.kemudian tekan enter untuk ke langkah selanjutnya.

pada konfigurasi selanjutnya,tekan yes lalu enter untuk ke langkah berikutnya.

31

selanjutnya akan ditanyakan Allow LDAPv2 Protocol? Kami memilih no ,karena

kelompok

kami

menggunakan

LDAPv3

Protocol,

sehingga

tidak

membutuhkanLDAPv2 Protocol, tapi ada pengecualian jika ingin menggunakan

LDAPv2 Protocol maka jawab yes.
kemudian lakukan testing dari konfigurasi yang telah dilakukan tadi, dengan
mengetikan perintah
#ldapsearch -x -b dc=kelompok3,dc=com
jika berhasil maka akan seperti gambar dibawah berikut ini,

kemudian install ldap client authentication dengan mengetikan perintah

32

#apt-get install ldap-auth-client

Setelah paket tersebut di install, maka debconf langsung menanyakan beberapa
hal berkaitan dengan libnss- ldap.
System akan menanyakan Should debconf manage LDAP configuration? Kita
pilih Yes,kemudian tekan enter untuk melakukan konfigurasi.

Diatas adalah konfigurasi untuk informasi alamat dari LDAP server.apabilah

sudah terisi,tekan oke untuk melanjutkan

Diatas adalah konfigurasi untuk informasi base DN yang akan digunakan sebagai
dasar pencarian LDAP.tekan ok untuk melanjutkan.

33

Diatas adalah konfigurasi untuk menentukan versi LDAP yang akan

digunakan.Disini kelompok kami menggunakan LDAP versi 3.Tekan ok untuk
melanjutkan.

Pilih yes untuk pilihan Make local root Database admin.Seperti yang ditunjukkan
pada gambar diatas.kemudian tekan enter untuk melanjutkan.

34

Kemudian,pilih option no untuk konfigurasi diatas.kemudian tekan enter untuk

melanjutkan

Diatas adalah konfigurasi untuk akun root pada LDAP.Disini kami menggunakan
akun cn=admin,dc=kelompok3,dc=com.Apabila telah selesai,pilih ok,kemudian
tekan enter untuk melanjutkan.

35

Langkah diatas adalah konfigurasi dari password akun root LDAP tadi.disini
kelompok kami menggunakan password kelompok3.Tekan ok untuk melanjutkan
ke langkah berikutnya.

Diatas adalah konfigurasi untuk menentukan enkripsi yang akan digunakan untuk
password akun LDAP.Kami menggunakan md5 pada enkripsinya.Lalu pilih oke
untuk melanjutkan.
Setelah semua konfigurasi selesai.Kita akan melakukan beberapa konfigurasi file
config.php pada phpldapadmin dengan cara mengetikkan perintah
#nano /etc/phpldapadmin/config.php
Kemudian cari baris seperti yang ditunjukkan pada gambar dibawah ini
36

Apabila sudah ketemu,rubah baris tersebut menjadi seperti pada gambar dibawah
ini.

Nilai dari variable yang ada didalam kurung,disesuaikan dengan base DN yang
digunakan.kemudian langkah selanjutnya adalah menemukan baris seperti yang
ditunjukkan pada gambar dibawah ini

Kemudian rubah baris tersebut menjadi seperti yang ditunjukkan pada gambar
dibawah ini

Kemudian simpan konfigurasi tersebut.dan restart apache2 dan slapd dengan

mengetikkan perintah
#/etc/init.d/slapd restart
#/etc/init.d/apache2 restart
kemudian buka web browser untuk melakukan konfigurasi phpldapadmin, dengan
alamat http://[ipserverldap]/phpldapadmin atau alamat dari server ldap kelompok
37

kami yaitu http://172.16.162.43/phpldapadmin. Maka akan muncul seperti gambar

dibawah ini.

Untuk melakukan login,kami menggunakan akun admin yang sebelumnya telah

dibuat.apabila berhasil login maka akan muncul seperti pada gambar dibawah ini.

Setelah berhasil login,kita akan membuat Organisational Unit baru dengan nama
Users.Dengan cara klik pilihan Create new entry here,yang pada gambar diatas
terletak dibawah cn=admin.kemudian pilih generic : organisational unit.seperti
yang ditunjukkan pada gambar dibawah ini.

38

Kemudian masukkan nama dari ou yang akan kita buat.Disini kami membuat ou
dengan nama Users.

Setelah itu tekan Create Object untuk membuat ou baru tersebut.

Kemudian

kami

membuat

grup

baru

pada

organizational

unit

Users

tersebut.Dengan cara klik pada organizational unit Users tersebut,lalu pilih create
new child entry seperti yang dtunjukkan pada gambar dibawah ini

Kemudian pilih generic : Posix Group.seperti yang ditunjukkan pada gambar

dibawah ini

39

Kemudian masukkan nama grup baru yang akan kita buat,disini kami membuat
grup baru dengan nama Kelompok3.

Kemudian tekan create objek untuk membuat grup baru dengan nama Kelompok3
tersebut.Setelah grup baru tersebut berhasil dibuat, selanjutnya adalah membuat
user account, yang mana account ini yang akan digunakan untuk login di moodle
nanti.Dengan cara klik grup Kelompok3 yang baru saja dibuat,kemudian pilih
pilihan create a new child entry.Kemudian pilih Generic : User Account.seperti
yang ditujukkan pada gambar berikut.

Setelah memilih,maka akan muncul seperti pada gambar dibawah ini.

40

Kemudian isi segala informasi yang dibutuhkan,setelah semua telah terisi,klik

create object untuk membuat user account tersebut.maka akan terbentuk user
dengan DN seperti berikut :

cn=prema pradana,cn=Kelompok3,ou=Users,dc=kelompok3,dc=com

Instalasi Moodle
1. Langkah pertama yang perlu dilakukan untuk melakukan instalasi
Moodle adalah download terlebih dahulu paket instalasi dari moodle.File
ini dapat didownload di moodle.org
2. Kemudian letakkan paket instalasi tersebut di /var/www.Setelah itu
ekstrak paket tersebut.
41

3. Rubah hak akses dan hak kepemilikannya dengan cara

merubah hak akses #chmod -R 777 moodle
merubah kepemilikan #chown www-data.www-data moodle
4. buat direktory moodledata di /var.Direktori ini akan digunakan untuk
menyimpan data-data dari moodle
5. Buat database untuk moodle pada PhpMyadmin
6. Buka browser, ketikan alamat http://localhost/moodle dan lakukan proses
instalasi melalui web browser.Berikut akan dijelaskan langkah demi
langkah instalasinya.

Pilih bahasa yang ingin digunakan pada moodle kita.Apabila sudah tekan
tombol next untuk kelangkah selanjutnya.

42

Langkah selanjuntnya adalah menentukan web address,moodle director,dan

data directory
Web address : isi kolom ini dengan alamat untuk mengakses moodle
nantinya.
Moodle directory : isi kolom ini dengan alamat direktori dari moodle
Data directory : isi kolom ini dengan alamat direktori yang akan
digunakan untuk menyimpan data-data dari moodle itu.
Setelah semua informasi yang diperlukan telah diisi.Tekan next untuk
kelangkah selanjutnya.

Lankah diatas adalah untuk menentukan tipe database yang akan

digunakan.disin digunakan improved MySQL (native/mysqli) sebagai tipe
databasenya.tekan next untuk melanjutkan ke langkah selanjutnya

Diatas adalah konfigurasi dari databasenya.Pastikan sebelumnya kita telah

membuat database untuk moodle.Masukkan informasi dari database yang
43

valid agar tidak terjadi masalah untuk hubungan databasenya.Apabila semua

sudah terisi,tekan next untuk ke langkah selanjutnya.

Diatas hanya informasi tentang copyright,tekan continue untuk melanjutkan.

Diatas merupakan pengecekan keperluan/requirement dari moodle.Apabila

terdapat keperluan yang belum terpenuhi,biasanya di highlight dengan
warna merah install dulu aplikasi yang dibutuhkan tersebut agar dapat
melanjutkan ke langkah selanjutnya.Apabila semua kebutuhan telah
terpenuhi,tekan continue untuk melangkah ke langkah selanjutnya.

44

Langkah diatas adalah proses instalasi dari aplikasi-aplikasi moodle.Tunggu

beberapa saat sampai proses instalasi selesai,kemudia tekan tombol continue
untuk melangkah ke langkah selanjutnya.

Langkah diatas adalah konfigurasi akun dari administrator.silahkan isi

informasi tersebut sesuai dengan keinginan.Apabila semua informasi telah
diisi dan telah msesuai dengan syarat yang ada,lanjut ke langkah
selanjutnya.

Apabila telah tampil seperti gambar diatas,moodle telah berhasil diinstal.

45

Integrasi Moodle dan Ldap Server

Login ke moodle sebagai administrator. Kemudian masuk di Site Adminitration
-> Plugin -> Authentication -> Manage authentification. Kemudian klik tanda
mata pada LDAP server sehingga LDAP server menjadi aktif.Seperti yang
ditunjukkan pada gambar dibawah ini

Lalu klik setting, maka akan muncul konfigurasi dari LDAP server seperti
gammbar dibawah ini

Yang perlu diperhatikan pada konfigurasi diatas adalah Host URL.pada kolom
ini input alamat dari LDAP server.Penulisan dari alamatnya dapat kita lihat
seperti pada gambar diatas yaitu ldap://172.16.162.43

Gambar diatas adalah konfigurasi untuk mencari dimana letak akun user pada
ldap yang ingin kita jadikan user untuk authentikasi pada moodle.pilih user
typenya posixAccount(rfc2307).kemudian pada kolom context isikan DN dari
lokasi usernya.Untuk kelompok kami,lokasi usernya berada pada Dn :
cn=Kelompok3,ou=users,dc=kelompok3,dc=com.
46

Apabila semua konfigurasi telah dilakukan,simpan konfigurasi tersebut dengan

menekan tombol save.Setelah konfigurasi disimpan,kita uji apakah integrasi
LDAP telah sukses dengan mencoba login menggunakan akun yang ada pada
LDAP.kami mencoba untuk login dengan username premapradana dan
password premapradana

Apabila integrasi dengan LDAP sukses,maka kita akan dapat login ke moodle
dan dianggap sebagai user baru oleh moodle tersebut.seperti yang ditunjukkan
pada gambar dibawah ini.

47

Instalasi Wordpress
1. Langkah pertama yang perlu dilakukan untuk melakukan instalasi
Wordpress adalah download terlebih dahulu paket instalasi dari
moodle.File ini dapat didownload di wordpress.org
2. Kemudian letakkan paket instalasi tersebut di /var/www.Setelah itu
ekstrak paket tersebut.
3. Rubah hak akses dan hak kepemilikannya dengan cara
merubah hak akses #chmod -R 777 wordpress
merubah kepemilikan #chown www-data.www-data wordpress
4. Buat database untuk moodle pada PhpMyadmin
5. Buka browser, ketikan alamat http://localhost/wordpress dan lakukan
proses instalasi melalui web browser.Berikut akan dijelaskan langkah
demi langkah instalasinya.

48

Pada menu ini merupakan proses awal saat pertama kali melakukan
instalasi wordpress. Klik Create a Configuration File untuk
melajutkan.

Setelah itu akan ditampilkan proses persiapan konfigurasi database, klik

Lets go.

49

Gambar diatas merupakan konfigurasi database, dimana disini

memasukan database wordpress dan memasukkan username dan
password dari database yang digunakan, setelah itu klik submit.

Setelah itu akan dilanjutkan dengan melakukan pengaturan akun

wordpress setelah mengisi semua kolom yang tersedia klik Install
WordPress.

50

Proses instalasi sukses, lakukan log in untuk melakukan proses

pengaturan LDAP.

Integrasi Wordpress Dengan LDAP

Untuk melakukan konfigurasi integrasi wordpress dengan LDAP sebelumnya
harus login terlebih dahulu sebagai administrator.Kemudian klik Plugins. Jika
belum terdapat plugins Simple LDAP Authentication lakukan Add New lalu
install. Jika sudah terintal maka akan terlihat plugin simple LDAP
Authentication seperti yang ditunjukan pada gambar dibawah ini

Langkah selanjutnya adalah lakukan konfigurasi pada Simple LDAP

Authentication dengan cara klik setting pada plugin Simple LDAP
Authentication, lalu akan muncul tampilan seperti pada gambar di bawah ini.

51

Lakukan konfigurasi wordpress dengan ldap user, dengan cara mensetting

connectionnya, dan general setting, untuk konfigurasi connection setting
sebagai
berikut
- LDAP Server
:

ldap//172.16.162.43
- Base DN : dc=kelompok3, dc=com
- Bind DN : cn=admin, dc=kelompok2, dc=com
- Bind Password : kelompok3
- User ID Search Filter : (uid=%user_id%)
- Groupe Search Filter : (cn = kelompok3)
- Group Member Attribute : memberuid
kemudian klik save changes. Setelah itu logout halaman login administrator,
dan cobalah login dengan user ldap yang telah dibuat tadi, yaitu username =
premapradana, password =premapradana
Ketika konfigurasi yang telah anda lakukan sukses maka, proses login yang
ada lakukan akan di arahkan tampilan seperti screen shoot di bawah :

52

Apabila konfigurasi dari integrasi antara wordpress dengan ldap berhasil

dilakukan,maka kita akan dapat login sebagai user tersebut.Seperti yang
terlihat pada gambar dibawah ini.

53