BAB II

SINGLE SIGN-ON, KERBEROS DAN LDAP

Bab ini membahas pengenalan sistem Single Sign-On dan penggunaan

OpenAM sebagai sistem Single Sign-On berbasis direktori dengan Kerberos dan
OpenLDAP sebagai otentikasi dan otorisasi penggunanya.

2.1 Teknologi Single Sign-On

Teknologi Single Sign-On (sering disingkat menjadi SSO) adalah sistem yang
mengizinkan pengguna agar dapat mengakses seluruh sumber daya dalam jaringan
hanya dengan menggunakan satu credential saja. Sistem ini tidak memerlukan
interaksi yang manual, sehingga memungkinkan pengguna melakukan proses sekali
login untuk mengakses seluruh layanan aplikasi tanpa berulang kali mengetikan
password-nya. Teknologi ini sangat diminati dalam jaringan yang sangat besar dan
bersifat heterogen, dimana sistem operasi serta aplikasi yang digunakan berasal dari
banyak vendor, dan pengguna diminta untuk mengisi informasi dirinya ke dalam
setiap multi-platform yang hendak diakses.
Sistem

Single

Sign-On

menghindari

login

ganda

dengan

cara

mengidentifikasi subjek secara ketat dan memperkenankan informasi otentikasi

untuk digunakan dalam sistem atau kelompok sistem yang terpercaya. Sistem SSO
dapat meningkatkan kegunaan jaringan secara keseluruhan dan pada saat yang sama
dapat memusatkan pengelolaan dari parameter sistem yang relevan.

6
Universitas Sumatera Utara

Pengguna layanan dapat lebih menyukai sistem Single Sign-On dari pada
sistem sign-on biasa, namun pengelola layanan jaringan memiliki banyak tugas
tambahan yang harus dilakukan, seperti perlunya perhatian ekstra untuk menjamin
bukti-bukti otentikasi agar tidak tersebar dan tidak disadap pihak lain ketika
melintasi jaringan. Secara umum gambaran perbedaan sistem Single Sign-On dan
sistem sign-on dapat dilihat pada Gambar 2.1.

Gambar 2.1 (a) Gambaran Sistem Sign-On dan (b) Gambaran Sistem Single Sign-On

Universitas Sumatera Utara

Beberapa arsitektur dari sistem SSO telah muncul, masing-masing dengan

berbagai keunggulan dan infrastruktur yang berbeda. Pada umumnya sistem SSO
memiliki beberapa keuntungan, antara lain :
1.

Pengguna tidak perlu mengingat banyak username dan password.

Cukup dengan satu credential, sehingga pengguna cukup melakukan proses
otentikasi sekali saja untuk mendapatkan izin akses terhadap semua layanan
aplikasi yang tersedia di dalam jaringan.

2.

Kemudahan pemrosesan data.

Jika setiap layanan aplikasi memiliki data pengguna masing-masing, maka
pemrosesan data pengguna (penambahan, pengurangan, perubahan) harus
dilakukan pada setiap aplikasi yang ada. Sedangkan dengan menggunakan
sistem SSO, cukup hanya melakukan sekali pemrosesan pada server database
backend-nya. Hal ini menyatakan bahwa penggunaan sistem SSO
meningkatkan efisiensi waktu dan kepraktisan dalam memproses data.

3.

Tidak perlu membuat data pengguna yang sama di setiap aplikasi

Karena setiap layanan aplikasi dalam jaringan dapat terhubung langsung
dengan server database backend ini, maka hanya dengan sekali saja menginput data kedalam database, credential pengguna akan valid di seluruh
layanan aplikasi.

4.

Menghemat biaya untuk pemeliharaan password.

Ketika harus me-reset password karena pengguna lupa pada password-nya,
pengelola layanan tidak perlu menghabiskan waktu dan bandwith untuk
menemukan data credential pengguna.

Universitas Sumatera Utara

Selain mendatangkan manfaat, sistem SSO juga dapat mendatangkan

kerugian, antara lain:
1.

Pentingnya kesadaran pengguna untuk merahasiakan data credential dan

menjaga keadaan login-nya. Bila masih dalam keadaan login, pengguna yang
tidak sah dapat memakai mesin yang ditinggalkan pengguna sahnya.

2.

Kerumitan mengimplementasikan sistem SSO kedalam sebuah jaringan yang

heterogen dan multiplatform, sehingga banyak pengelola layanan jaringan
kurang begitu giat dalam mengimplementasikannya.

3.

Kelemahan dalam hal keamanan. Jika password sistem pengelola layanan

jaringan diketahui oleh orang yang tidak berhak, maka orang tersebut dapat
melakukan perubahan terhadap semua data yang ada didalam sistem.

4.

Titik Kegagalan Tunggal (Single point failure). Karena setiap layanan aplikasi
bergantung kepada sistem Single Sign-On, sistem ini dapat menjadi suatu titik
kegagalan bila tidak dirancang dengan baik. Kondisi apapun yang dapat
menyebabkan sistem SSO padam, mengakibatkan pengguna tidak dapat
mengakses seluruh layanan aplikasi yang dilindungi oleh sistem SSO
tersebut.

2.1.1

Pendekatan Sistem Single Sign-On

Secara umum SSO diimplementasikan sebagai sebuah model otentikasi yang

independen yang mana seluruh aplikasinya menggunakan modul otentikasi berbasis

SSO untuk mengesahkan pengguna. Ketika pengelola layanan memilih untuk

Universitas Sumatera Utara

10

mengaplikasikan sistem SSO, maka dapat dipilih salah satu dari tiga pendekatan SSO
berikut:
1. Pendekatan Terpusat (Centralized Approaches)
Pendekatan ini mempunyai sebuah lokasi yang terpusat dimana seluruh
identifikasi

disimpan.

Server

SSO

bertindak

sebagai

perantara

untuk

mendistribusikan identifikasi ketika dibutuhkan dan sampai pada otentikasi /

otorisasi pengguna jika diperlukan. Biasanya hal ini membutuhkan pergantian
aplikasi untuk mengintegrasikan dengan server SSO. Teknologi pada Microsofts
.NET Passport menggunakan pendekatan ini.
2. Pendekatan Distribusi (Distributed Approaches)
Pendekatan ini mengijinkan kumpulan pernyataan identifikasi yang
dilokalisasikan dari tiap-tiap aplikasi dengan diteruskan menggunakan komponen
client-based (berbasis klien). Oleh karena itu pengguna memiliki kendali penuh
terhadap komponen klien dan profil/password disinkronkan ke pusat server. Satu
dari keuntungan pendekatan ini adalah bahwa jika seorang penyerang (attacker)
mendapatkan akses informasi dari sistem, dia hanya akan menemukan akses ke
informasi dari database yang sedang berjalan dari sistem tersebut.
3. Pendekatan Federasi (Federation Approches)
Pendekatan ini menyediakan identifikasi terpusat dan layanan manajemen
otentikasi yang sejalan dengan kumpulan pernyataan identifikasi yang
dilokalisasikan. Hampir seluruh dari produk dan arsitektur SSO yang sekarang
berdasarkan pada model ini. Pendekatan ini menyediakan manfaat yang paling

Universitas Sumatera Utara

11

besar dari kedua pendekatan terpusat dan distribusi.

Model yang dari sistem SSO yang digunakan berdasarkan pada pendekatan
federasi, dan pendekatan ini menggunakan konsep cookie untuk aplikasi berbasis
web. Karakteristik cookie memperbolehkan web server untuk mengendalikan
pengguna mereka (web browser) secara lengkap. Pendekatan dari sistem SSO
berbasis konsep cookie dapat ditunjukkan pada Gambar 2.2.

Gambar 2.2 Pendekatan sistem SSO Berbasis Konsep Cookie

2.1.2 Arsitektur Sistem Single Sign-On

Solusi sistem SSO didasarkan pada salah satu dari dua tingkat pendekatan,
yaitu pendekatan script dan pendekatan agent. Pendekatan agent lebih digunakan
dalam Tugas Akhir ini karena dianggap lebih cocok untuk layanan aplikasi berbasis

Universitas Sumatera Utara

12

web atau dikenal juga sebagai service provider (SP). Gambar 2.3 menunjukkan
pembagian dari pendekatan sistem SSO.

Gambar 2.3 Pendekatan Sistem SSO

Agent merupakan sebuah program kecil yang berjalan pada tiap-tiap web
server. Agent ini membantu mengkoordinir aliran kerja dari sistem SSO dalam hal
otentikasi pengguna dan penanganan sesi. Solusi dari arsitektur sistem SSO
ditunjukkan oleh Gambar 2.4.

Gambar 2.4 Arsitektur Sistem SSO

Universitas Sumatera Utara

13

Arsitektur Sistem SSO memiliki dua bagian utama, yaitu agent yang berada
di web server /Layanan aplikasi dan sebuah server SSO berdedikasi yang mana akan
dijelaskan berikut ini:

Agent: Sebuah agent akan menterjemahkan setiap permintaan HTTP yang

masuk ke web server. Hanya ada satu agent di tiap-tiap web server, yang mana
host bagi layanan aplikasi. Agent tersebut akan berinteraksi dengan web
browser pada sisi pengguna, dan dengan server SSO pada sisi layanan aplikasi.

SSO server: Server SSO menggunakan cookies temporer (sementara) untuk

menyediakan fungsi manajemen sesi. Sebuah cookies terdiri dari informasi
seperti user-id, session-id, session creation time, session expiration time dan
lain-lain.
Produk-produk sistem SSO yang berbasis open source yang umum digunakan

saat ini seperti CAS (Central Authentication Service), OpenAM (Open Access
Manager), dan JOSSO (Java Open Single Sign-On).

2.1.3

OpenAM (Open Access Manager)

OpenAM adalah produk sistem SSO yang berbasis open source, merupakan

infrastruktur yang mendukung layanan berbasis identitas dan implementasi solusi

dari Single Sign-on (SSO) transparan sebagai komponen keamanan dalam
infrastruktur jaringan. OpenAM ini berbasis pada solusi Identity Management yang
dikembangkan oleh Sun Microsystems, Inc. Tujuan dari OpenAM adalah untuk
memberikan landasan yang luas sebagai infrastruktur pelayanan identitas dalam

Universitas Sumatera Utara

14

ranah publik dan untuk memfasilitasi sistem Single Sign-On untuk layanan aplikasi
web dalam server.
Keunggulan OpenAM dibandingkan produk SSO lainnya terletak pada
Agent yang dapat ditempatkan ke berbagai aplikasi server seperti Apache, Sun Java
System Web Server, Microsoft IIS, dan Domino. Konfigurasinya dapat dilakukan
dengan menulis otentikasi modul yang dilengkapi dengan keamanan layanan web
menggunakan SAML (Security Assertion Markup Language). OpenAM merupakan
pilihan yang tepat jika dibutuhkan dukungan terhadap lingkungan yang terpisah dan
memerlukan otentikasi menggunakan SSL (Secure Socket Layer).
OpenAM bekerja seperti gerbang utama pada sistem Single Sign-On, karena
terhubung langsung dengan pengguna dan seluruh aplikasi yang ada dalam jaringan.
OpenAM bekerja sama dengan aplikasi backend melakukan proses otentikasi dan
otorisasi berdasarkan database credential pengguna. Beberapa tipe aplikasi yang
sering dijadikan Backend database pada jaringan dengan OpenAM antara lain seperti
Kerberos, Active Directory, LDAP, OpenDS, NIS, dan MySql.

2.2 Kerberos
Kerberos adalah sebuah protokol sistem otentikasi yang dikembangkan dari
Proyek Athena di MIT. Ketika pengguna login, Kerberos mengotentikasi pengguna
tersebut (menggunakan kunci acak), dan memberikan pengguna suatu cara untuk
membuktikan identitasnya ke server dan host lain yang tersebar di jaringan.
Otentikasi ini kemudian digunakan oleh aplikasi seperti OpenAM untuk mengizinkan
pengguna login ke aplikasi lain tanpa password. Otentikasi yang digunakan oleh

Universitas Sumatera Utara

15

Kerberos menjamin bahwa data dikirimkan kepada orang yang tepat, dan juga
menjamin bahwa pengirim adalah benar orang yang diklaimnya.
Kerberos pertama kali dikembangkan pada dekade 1980-an sebagai sebuah
metode untuk melakukan otentikasi terhadap pengguna dalam sebuah jaringan yang
besar dan terdistribusi. Protokol ini dinamai Kerberos, diangkat dari nama Cerberus
yang merupakan seekor anjing berkepala tiga (protokol Kerberos memiliki tiga
subprotokol) dalam mitologi Yunani yang menjadi penjaga Tartarus, gerbang menuju
alam kematian Hades (atau Pluto dalam mitologi Romawi).
Efek keseluruhan menginstalasi Kerberos dan berbagai program bersamanya
adalah secara virtual menghilangkan kemampuan pengguna untuk menipu (spoof)
sistem agar mempercayai bahwa mereka adalah orang lain.

2.2.1 Protokol Kerberos

Protokol Kerberos dibangun berdasarkan kriptografi kunci simetris dari
protokol Needham-Schroeder, dan dalam penggunaannya membutuhkan layanan dari
pusat distribusi kunci (Key Distribution Center atau KDC). KDC merupakan pihak
ketiga yang terpercaya dan terdiri dari dua bagian yang terpisah, yaitu AS
(Authentication Service) dan TGS (Ticket-Granting Service).
KDC menyimpan database kunci rahasia setiap entitas pada jaringan, baik
pengguna maupun server. Kunci rahasia ini berfungsi untuk membuktikan identitas
entitas dan hanya diketahui oleh pembuatnya sendiri dan KDC. Untuk komunikasi
antara dua entitas, KDC menghasilkan kunci sesi yang dapat mereka gunakan untuk
mengamankan interaksi mereka. Kunci sesi ini akan diproses bersamaan dengan tiket

Universitas Sumatera Utara

16

kerberos sebagai otentikasi pengguna. Protokol kerberos sangat bergantung pada

kemampuan tiap peserta menyerempakkan waktunya pada server KDC karena tiket
Kerberos memiliki waktu hidup yang sangat singkat.
Agar dapat melakukan aksinya Kerberos memiliki tiga subprotokol, protokol
tersebut antara lain:

Authentication Service (AS) Exchange yang digunakan oleh Key Distribution

Center (KDC) untuk menyediakan Ticket-Granting Ticket (TGT) kepada
pengguna dan membuat kunci sesi logon.

Ticket-Granting Service (TGS) Exchange yang digunakan oleh KDC untuk

mendistribusikan kunci sesi layanan dan tiket yang diasosiasikan dengannya.

Client/Server (CS) Exchange yang digunakan oleh pengguna untuk

mengirimkan sebuah tiket sebagai pendaftaran kepada sebuah layanan.

2.2.2

Cara Kerja Kerberos

Adapun cara kerja Kerberos adalah sebagai berikut :

1. Komputer pengguna Kerberos akan mengirimkan sebuah permintaan terhadap

server KDC untuk mengakses TGS dengan menggunakan protokol AS
Exchange. Dalam permintaan tersebut terdapat bukti identitas pengguna dalam
bentuk terenkripsi menggunakan kunci rahasia pengguna.
2. KDC kemudian menerima permintaan dari pengguna Kerberos, lalu mencari
kunci utama (disebut sebagai Master Key) yang dimiliki oleh pengguna dalam
layanan direktori Active Directory (dalam Windows 2000/Windows Server 2003

Universitas Sumatera Utara

17

atau layanan direktori lainnya seperti LDAP) untuk selanjutnya melakukan

dekripsi terhadap informasi identitas yang terdapat dalam permintaan yang
dikirimkan.

Jika

identitas

pengguna

berhasil

diverifikasi,

KDC

akan

meresponnya dengan memberikan TGT dan sebuah kunci sesi untuk mengakses
TGS dengan menggunakan protokol AS Exchange.
3. Pengguna selanjutnya mengirimkan permintaan yang terenkripsi dengan kunci
sesi ini kepada KDC, permintaan itu mengandung TGT yang sebelumnya
diterima dari KDC, dan identifier akses terhadap layanan aplikasi server target
dengan menggunakan protokol TGS Exchange.
4. KDC selanjutnya menerima permintaan, melakukan otentikasi terhadap layanan,
dan meresponsnya dengan memberikan sebuah tiket dan kunci sesi untuk
mengakses server target kepada pengguna dengan menggunakan protokol TGS
Exchange.
5. Pengguna selanjutnya mengirimkan permintaan terhadap server target yang
mengandung tiket yang didapatkan sebelumnya dengan menggunakan protokol
CS Exchange. Server target kemudian melakukan otentikasi terhadap tiket yang
bersangkutan, membalasnya dengan sebuah kunci sesi, dan pengguna pun
akhirnya dapat mengakses layanan yang tersedia dalam server.

Meski terlihat rumit, pekerjaan ini dilakukan di balik layar sehingga tidak
terlihat oleh pengguna. Sesi otentikasi Kerberos yang dilakukan antara pengguna dan
server dapat dilihat seperti Gambar 2.5.

Universitas Sumatera Utara

18

Gambar 2.5 Sesi Otentikasi Kerberos

2.3 LDAP (Light Weight Directory Access Protocol)

LDAP (Light Weight Directory Access Protocol) adalah sebuah protokol yang
mengatur mekanisme pengaksesan layanan direktori (Directory Service), yang dapat
digunakan untuk mendeskripsikan banyak informasi seperti informasi tentang
people, organizations, roles, services dan banyak entitas lainnya. LDAP
menggunakan model client-server, dimana client mengirimkan identifier data kepada
server menggunakan protokol TCP/IP dan server mencoba mencarinya pada DIT
(Directory Information Tree) yang tersimpan di server. Bila ditemukan maka
hasilnya akan dikirimkan ke client tersebut, namun bila tidak ditemukan maka
hasilnya berupa pointer ke server lain yang menyimpan data yang dicari.
Terdapat dua layanan utama pada LDAP yaitu slapd yang merupakan LDAP
daemon dan slurpd yang merupakan replication daemon. Slapd melayani permintaan

Universitas Sumatera Utara

19

dari pengguna, query dan berkomunikasi dengan database backend sedangkan slurpd
melayani replikasi data agar terus terjadi sinkronisasi data antara client dan server,
dan untuk memfasilitasi pengisian dan perubahan informasi data dalam direktori
digunakanlah LDIF (LDAP Data Interchange Format).

2.3.1

Konsep Dasar LDAP

Untuk mempelajari LDAP, sangatlah penting untuk memahami maksud dari

direktori dan apa fungsinya. Direktori dapat berupa personal address book, phone
book, yellow pages bahkan web direktori seperti Yahoo. Direktori dapat membantu
untuk menemukan informasi yang dibutuhkan, sebagai contoh yellow pages.
Di dalam yellow pages dapat dicari alamat lengkap, nomor telepon, alamat
website dan email dari suatu perusahaan hanya dengan mencarinya berdasarkan
nama dari perusahaan yang telah disusun secara alphabetis pada direktori yellow
pages. Dalam terminologi komputer, directory service bisa dikatakan sebagai suatu
database tempat penyimpanan data, yang dapat digunakan untuk memberikan
informasi-informasi yang berkaitan dengan objeknya. Bagian direktori mungkin
dapat berisi kumpulan informasi tentang pengguna seperti sure name, first name,
phone number, User ID, mail address dan lain sebagainya. Untuk memudahkan
pemahaman tentang konsep direktori ini, dijelaskan melalui model seperti Gambar
2.6.

Universitas Sumatera Utara

20

Gambar 2.6 Konsep Direktori

Secara prinsip struktur database pada suatu directory service adalah hierarki
seperti yang ditunjukkan pada Gambar 2.6. Suatu directory service akan memiliki
item yang dijadikan sebagai root. Untuk sebuah titik root, secara umum ditunjukkan
dengan suatu attribut dc (Domain Component) atau o (Organization) mungkin juga
ou (Organization Unit). Kemudian pada titik daun (leaf) biasanya akan berisi item
dengan attribut uid (User ID) ataupun cn (Common Name). Directory service
biasanya menyimpan informasi dalam bentuk struktur tree yang dinamakan
Directory Information Tree (DIT). Setiap titik pada DIT diberi suatu alamat, baik
secara relatif maupun secara absolut. Untuk suatu alamat relatif sering disebut
sebagai RDN (Relative Distinguish Name) sedangkan alamat yang absolut di sebut
sebagai DN (Distinguish Name).
Jadi apabila ingin mendapatkan informasi tentang pengguna rsukmana seperti
contoh pada Gambar 2.6 diatas, dapat dituliskan hasil pencariannya dengan
dn=uid=rsukmana,ou=people,dc=smartbee,dc=com. Konsep seperti inilah yang

Universitas Sumatera Utara

21

digunakan oleh direktori LDAP.

Ada tiga hal yang sebaiknya diketahui dalam membangun sebuah server
LDAP, yaitu:
1. Schema mendefinisikan seperangkat aturan yang mendeskripsikan jenis data apa
saja yang akan disimpan, schema sangat membantu untuk menjaga konsistensi
dan kualitas data sehingga mengurangi terjadinya duplikasi data.
2. ObjectClass merupakan sekumpulan entri yang menginformasikan jenis group,
dan membutuhkan atribut yang biasanya terdiri atas attribute names, attribute type
dan attribute syntax yang semuanya terkumpul dalam suatu data valid pada setiap
kelasnya.
3. Attribute merupakan entri yang bersifat unik seperti uid, cn, sn ,ou, o, dc dan lain
sebagainya, attribute sendiri dapat merupakan single value maupun multiple value.
Model informasi LDAP adalah berdasarkan entri. Sebuah entri adalah koleksi
atribut yang mempunyai nama yang terbedakan (Distinguished Name/DN) secara
global. DN ini digunakan sebagai referensi ke entri yang secara unik berbeda dengan
nilai DN yang lainnya. Setiap atribut entri mempunyai sebuah tipe dengan satu nilai
atau lebih. Tipe biasanya string singkatan khusus, seperti cn untuk common name,
atau mail untuk alamat e-mail. Sintaks dari nilai bergantung kepada tipe atribut.
Contoh, atribut cn mungkin berisi kata-kata repo. Atribut mail mungkin berisi
alamat email repo@server.com.
Dalam LDAP entri direktori disusun dalam sebuah hirarki struktur seperti
pohon (tree). Struktur pohon LDAP saat ini pada umumnya berdasarkan nama

Universitas Sumatera Utara

22

domain internet. Pendekatan penamaan layanan direktori mirip dengan penamaan

pada DNS. Gambar 2.6 menunjukkan sebuah contoh pohon direktori LDAP
menggunakan penamaan berdasarkan domain.
Selain secara struktur pohon dengan penamaan internet, terdapat juga struktur
pohon dengan cara penamaan tradisional seperti Gambar 2.7. Struktur ini
merefleksikan geografis atau lingkup organisasi. Entri-entri mewakili negara-negara,
terlihat di atas dari pohon (tree). Dibawahnya adalah entri yang menyatakan provinsi
dan organisasi nasional. Dibawahnya lagi mungkin entri yang menyatakan unit
organisasi, orang, printer, dokumen, dan lain-lain.

Gambar 2.7 Struktur Pohon Direktori Cara Penamaan Tradisional

LDAP dapat mengontrol atribut-atribut yang diperlukan dan diizinkan dalam

sebuah entri, melalui penggunaan atribut spesial yang dinamakan objectClass.
Angka-angka dari atribut objectClass menyatakan aturan (rule) skema yang ditaati
oleh entri.
Sebuah entri direferensi oleh nama yang berbeda dari yang lain, yang
dibentuk dari nama entri itu sendiri. Nama ini disebut nama relatif yang membedakan

Universitas Sumatera Utara

23

(Relative Distinguished Name/RDN) dengan menggabungkan nama-nama dari entrientri di atasnya atau sebelumnya. Operasi update yang ada, seperti untuk menambah
dan menghapus sebuah entri dari direktori, adalah mengubah entri yang ada dengan
mengubah nama dari entri tersebut. Sebagian besar waktu LDAP digunakan untuk
operasi mencari informasi dalam direktori (query). Operasi pencarian LDAP
memungkinkan beberapa bagian dari direktori untuk mencari entri-entri yang sama
dengan beberapa kriteria yang dispesifikasikan oleh filter search.

2.3.2

Prinsip Kerja LDAP

Secara teknis, LDAP adalah sebuah protokol untuk mengakses ke layanan

direktori X.500, yang merupakan layanan direktori yang diatur oleh OSI. Awalnya,
pengguna LDAP mengakses gateway ke layanan direktori X.500. Gateway ini
menjalankan LDAP di antara client dan gateway, dan menjalankan Protokol Akses
Direktori (Directory Access Protocol/DAP) X.500 antara gateway dan X.500 server.
DAP adalah sebuah protokol kelas berat yang beroperasi melalui tumpukan protokol
OSI secara penuh dan memerlukan pemrosesan yang sangat signifikan dari sumber
daya komputasi. LDAP didesain untuk beroperasi melalui TCP/IP dan menyediakan
sebagian besar dari fungsi DAP dengan biaya yang sangat lebih rendah.
LDAP adalah protokol yang digunakan untuk mengakses direktori X.500
directory service (OSI-nya layanan direktori). Inisialisasi LDAP server merupakan
gateway antara LDAP dengan X.500 Directory Access Protokol (DAP), sedangkan
DAP merupakan protokol heavy-weight yang mengoperasikan stack protokol OSI
secara penuh, konsekuensinya tentu saja sangat menyedot resource. LDAP hadir

Universitas Sumatera Utara

24

dirancang menggunakan pendekatan protokol TCP/IP dikawinkan dengan fungsifungsi DAP sehingga fungsi DAP dapat dijalankan dengan lebih murah.
Dengan adanya fungsi-fungsi DAP pada LDAP, tentu saja sangat
meringankan pengaksesan X.500, tetapi tetap saja diperlukan pemakaian layanan
X.500 secara penuh untuk dapat membuat banyak data LDAP pada client. Sehingga
tetap diperlukan resource yang besar untuk memenuhi keperluan tersebut.
Service direktori LDAP berdasarkan model client-server. Satu atau lebih
server LDAP membentuk pohon (tree) direktori informasi. Client terkoneksi keserver dan mengajukan pertanyaan. Server merespon dengan jawaban dan / atau
dengan pointer, ke arah mana client dapat mendapat tambahan informasi (khususnya
keserver LDAP yang lain). Gambar 2.8 berikut menunjukkan proses koneksi dari
client ke server LDAP pertama dan server LDAP kedua yang ditunjuk oleh server
LDAP pertama.

Gambar 2.8 Koneksi dari Client ke Server LDAP Pertama dan Kedua

Tidak menjadi masalah pada server LDAP yang mana client akan terkoneksi.
Client tersebut akan mendapat informasi yang sama dari server direktori berupa

Universitas Sumatera Utara

25

sebuah nama yang direpresentasikan ke satu LDAP server sebagai entri referensi
yang akan menunjuk ke server LDAP lainnya. Ini ciri khas penting bagi layanan
direktori global seperti LDAP.
Layanan direktori LDAP menyediakan proteksi keamanan yang dapat diatur
pada saat pengguna akan melihat suatu informasi. Ketika pengguna melewati proses
otentikasi atau login, pengguna yang tidak terotentikasi identitasnya, tidak memiliki
izin untuk melihat informasi (tidak terotorisasi), sedangkan pengguna yang telah
terotentikasi dapat melihat informasi sesuai dengan tingkatan otorisasi yang
dimilikinya.

Universitas Sumatera Utara