BAB II SINGLE SIGN-ON, KERBEROS DAN LDAP. OpenLDAP sebagai otentikasi dan otorisasi penggunanya.

Transkripsi

1 BAB II SINGLE SIGN-ON, KERBEROS DAN LDAP Bab ini membahas pengenalan sistem Single Sign-On dan penggunaan OpenAM sebagai sistem Single Sign-On berbasis direktori dengan Kerberos dan OpenLDAP sebagai otentikasi dan otorisasi penggunanya. 2.1 Teknologi Single Sign-On Teknologi Single Sign-On (sering disingkat menjadi SSO) adalah sistem yang mengizinkan pengguna agar dapat mengakses seluruh sumber daya dalam jaringan hanya dengan menggunakan satu credential saja. Sistem ini tidak memerlukan interaksi yang manual, sehingga memungkinkan pengguna melakukan proses sekali login untuk mengakses seluruh layanan aplikasi tanpa berulang kali mengetikan password-nya. Teknologi ini sangat diminati dalam jaringan yang sangat besar dan bersifat heterogen, dimana sistem operasi serta aplikasi yang digunakan berasal dari banyak vendor, dan pengguna diminta untuk mengisi informasi dirinya ke dalam setiap multi-platform yang hendak diakses. Sistem Single Sign-On menghindari login ganda dengan cara mengidentifikasi subjek secara ketat dan memperkenankan informasi otentikasi untuk digunakan dalam sistem atau kelompok sistem yang terpercaya. Sistem SSO dapat meningkatkan kegunaan jaringan secara keseluruhan dan pada saat yang sama dapat memusatkan pengelolaan dari parameter sistem yang relevan. 6

2 7 Pengguna layanan dapat lebih menyukai sistem Single Sign-On dari pada sistem sign-on biasa, namun pengelola layanan jaringan memiliki banyak tugas tambahan yang harus dilakukan, seperti perlunya perhatian ekstra untuk menjamin bukti-bukti otentikasi agar tidak tersebar dan tidak disadap pihak lain ketika melintasi jaringan. Secara umum gambaran perbedaan sistem Single Sign-On dan sistem sign-on dapat dilihat pada Gambar 2.1. Gambar 2.1 (a) Gambaran Sistem Sign-On dan (b) Gambaran Sistem Single Sign-On

3 8 Beberapa arsitektur dari sistem SSO telah muncul, masing-masing dengan berbagai keunggulan dan infrastruktur yang berbeda. Pada umumnya sistem SSO memiliki beberapa keuntungan, antara lain : 1. Pengguna tidak perlu mengingat banyak username dan password. Cukup dengan satu credential, sehingga pengguna cukup melakukan proses otentikasi sekali saja untuk mendapatkan izin akses terhadap semua layanan aplikasi yang tersedia di dalam jaringan. 2. Kemudahan pemrosesan data. Jika setiap layanan aplikasi memiliki data pengguna masing-masing, maka pemrosesan data pengguna (penambahan, pengurangan, perubahan) harus dilakukan pada setiap aplikasi yang ada. Sedangkan dengan menggunakan sistem SSO, cukup hanya melakukan sekali pemrosesan pada server database backend-nya. Hal ini menyatakan bahwa penggunaan sistem SSO meningkatkan efisiensi waktu dan kepraktisan dalam memproses data. 3. Tidak perlu membuat data pengguna yang sama di setiap aplikasi Karena setiap layanan aplikasi dalam jaringan dapat terhubung langsung dengan server database backend ini, maka hanya dengan sekali saja menginput data kedalam database, credential pengguna akan valid di seluruh layanan aplikasi. 4. Menghemat biaya untuk pemeliharaan password. Ketika harus me-reset password karena pengguna lupa pada password-nya, pengelola layanan tidak perlu menghabiskan waktu dan bandwith untuk menemukan data credential pengguna.

4 9 Selain mendatangkan manfaat, sistem SSO juga dapat mendatangkan kerugian, antara lain: 1. Pentingnya kesadaran pengguna untuk merahasiakan data credential dan menjaga keadaan login-nya. Bila masih dalam keadaan login, pengguna yang tidak sah dapat memakai mesin yang ditinggalkan pengguna sahnya. 2. Kerumitan mengimplementasikan sistem SSO kedalam sebuah jaringan yang heterogen dan multiplatform, sehingga banyak pengelola layanan jaringan kurang begitu giat dalam mengimplementasikannya. 3. Kelemahan dalam hal keamanan. Jika password sistem pengelola layanan jaringan diketahui oleh orang yang tidak berhak, maka orang tersebut dapat melakukan perubahan terhadap semua data yang ada didalam sistem. 4. Titik Kegagalan Tunggal (Single point failure). Karena setiap layanan aplikasi bergantung kepada sistem Single Sign-On, sistem ini dapat menjadi suatu titik kegagalan bila tidak dirancang dengan baik. Kondisi apapun yang dapat menyebabkan sistem SSO padam, mengakibatkan pengguna tidak dapat mengakses seluruh layanan aplikasi yang dilindungi oleh sistem SSO tersebut Pendekatan Sistem Single Sign-On Secara umum SSO diimplementasikan sebagai sebuah model otentikasi yang independen yang mana seluruh aplikasinya menggunakan modul otentikasi berbasis SSO untuk mengesahkan pengguna. Ketika pengelola layanan memilih untuk

5 10 mengaplikasikan sistem SSO, maka dapat dipilih salah satu dari tiga pendekatan SSO berikut: 1. Pendekatan Terpusat (Centralized Approaches) Pendekatan ini mempunyai sebuah lokasi yang terpusat dimana seluruh identifikasi disimpan. Server SSO bertindak sebagai perantara untuk mendistribusikan identifikasi ketika dibutuhkan dan sampai pada otentikasi / otorisasi pengguna jika diperlukan. Biasanya hal ini membutuhkan pergantian aplikasi untuk mengintegrasikan dengan server SSO. Teknologi pada Microsoft s.net Passport menggunakan pendekatan ini. 2. Pendekatan Distribusi (Distributed Approaches) Pendekatan ini mengijinkan kumpulan pernyataan identifikasi yang dilokalisasikan dari tiap-tiap aplikasi dengan diteruskan menggunakan komponen client-based (berbasis klien). Oleh karena itu pengguna memiliki kendali penuh terhadap komponen klien dan profil/password disinkronkan ke pusat server. Satu dari keuntungan pendekatan ini adalah bahwa jika seorang penyerang (attacker) mendapatkan akses informasi dari sistem, dia hanya akan menemukan akses ke informasi dari database yang sedang berjalan dari sistem tersebut. 3. Pendekatan Federasi (Federation Approches) Pendekatan ini menyediakan identifikasi terpusat dan layanan manajemen otentikasi yang sejalan dengan kumpulan pernyataan identifikasi yang dilokalisasikan. Hampir seluruh dari produk dan arsitektur SSO yang sekarang berdasarkan pada model ini. Pendekatan ini menyediakan manfaat yang paling

6 11 besar dari kedua pendekatan terpusat dan distribusi. Model yang dari sistem SSO yang digunakan berdasarkan pada pendekatan federasi, dan pendekatan ini menggunakan konsep cookie untuk aplikasi berbasis web. Karakteristik cookie memperbolehkan web server untuk mengendalikan pengguna mereka (web browser) secara lengkap. Pendekatan dari sistem SSO berbasis konsep cookie dapat ditunjukkan pada Gambar 2.2. Gambar 2.2 Pendekatan sistem SSO Berbasis Konsep Cookie Arsitektur Sistem Single Sign-On Solusi sistem SSO didasarkan pada salah satu dari dua tingkat pendekatan, yaitu pendekatan script dan pendekatan agent. Pendekatan agent lebih digunakan dalam Tugas Akhir ini karena dianggap lebih cocok untuk layanan aplikasi berbasis

7 12 web atau dikenal juga sebagai service provider (SP). Gambar 2.3 menunjukkan pembagian dari pendekatan sistem SSO. Gambar 2.3 Pendekatan Sistem SSO Agent merupakan sebuah program kecil yang berjalan pada tiap-tiap web server. Agent ini membantu mengkoordinir aliran kerja dari sistem SSO dalam hal otentikasi pengguna dan penanganan sesi. Solusi dari arsitektur sistem SSO ditunjukkan oleh Gambar 2.4. Gambar 2.4 Arsitektur Sistem SSO

8 13 Arsitektur Sistem SSO memiliki dua bagian utama, yaitu agent yang berada di web server /Layanan aplikasi dan sebuah server SSO berdedikasi yang mana akan dijelaskan berikut ini: Agent: Sebuah agent akan menterjemahkan setiap permintaan HTTP yang masuk ke web server. Hanya ada satu agent di tiap-tiap web server, yang mana host bagi layanan aplikasi. Agent tersebut akan berinteraksi dengan web browser pada sisi pengguna, dan dengan server SSO pada sisi layanan aplikasi. SSO server: Server SSO menggunakan cookies temporer (sementara) untuk menyediakan fungsi manajemen sesi. Sebuah cookies terdiri dari informasi seperti user-id, session-id, session creation time, session expiration time dan lain-lain. Produk-produk sistem SSO yang berbasis open source yang umum digunakan saat ini seperti CAS (Central Authentication Service), OpenAM (Open Access Manager), dan JOSSO (Java Open Single Sign-On) OpenAM (Open Access Manager) OpenAM adalah produk sistem SSO yang berbasis open source, merupakan infrastruktur yang mendukung layanan berbasis identitas dan implementasi solusi dari Single Sign-on (SSO) transparan sebagai komponen keamanan dalam infrastruktur jaringan. OpenAM ini berbasis pada solusi Identity Management yang dikembangkan oleh Sun Microsystems, Inc. Tujuan dari OpenAM adalah untuk memberikan landasan yang luas sebagai infrastruktur pelayanan identitas dalam

9 14 ranah publik dan untuk memfasilitasi sistem Single Sign-On untuk layanan aplikasi web dalam server. Keunggulan OpenAM dibandingkan produk SSO lainnya terletak pada Agent yang dapat ditempatkan ke berbagai aplikasi server seperti Apache, Sun Java System Web Server, Microsoft IIS, dan Domino. Konfigurasinya dapat dilakukan dengan menulis otentikasi modul yang dilengkapi dengan keamanan layanan web menggunakan SAML (Security Assertion Markup Language). OpenAM merupakan pilihan yang tepat jika dibutuhkan dukungan terhadap lingkungan yang terpisah dan memerlukan otentikasi menggunakan SSL (Secure Socket Layer). OpenAM bekerja seperti gerbang utama pada sistem Single Sign-On, karena terhubung langsung dengan pengguna dan seluruh aplikasi yang ada dalam jaringan. OpenAM bekerja sama dengan aplikasi backend melakukan proses otentikasi dan otorisasi berdasarkan database credential pengguna. Beberapa tipe aplikasi yang sering dijadikan Backend database pada jaringan dengan OpenAM antara lain seperti Kerberos, Active Directory, LDAP, OpenDS, NIS, dan MySql. 2.2 Kerberos Kerberos adalah sebuah protokol sistem otentikasi yang dikembangkan dari Proyek Athena di MIT. Ketika pengguna login, Kerberos mengotentikasi pengguna tersebut (menggunakan kunci acak), dan memberikan pengguna suatu cara untuk membuktikan identitasnya ke server dan host lain yang tersebar di jaringan. Otentikasi ini kemudian digunakan oleh aplikasi seperti OpenAM untuk mengizinkan pengguna login ke aplikasi lain tanpa password. Otentikasi yang digunakan oleh

10 15 Kerberos menjamin bahwa data dikirimkan kepada orang yang tepat, dan juga menjamin bahwa pengirim adalah benar orang yang diklaimnya. Kerberos pertama kali dikembangkan pada dekade 1980-an sebagai sebuah metode untuk melakukan otentikasi terhadap pengguna dalam sebuah jaringan yang besar dan terdistribusi. Protokol ini dinamai Kerberos, diangkat dari nama Cerberus yang merupakan seekor anjing berkepala tiga (protokol Kerberos memiliki tiga subprotokol) dalam mitologi Yunani yang menjadi penjaga Tartarus, gerbang menuju alam kematian Hades (atau Pluto dalam mitologi Romawi). Efek keseluruhan menginstalasi Kerberos dan berbagai program bersamanya adalah secara virtual menghilangkan kemampuan pengguna untuk menipu (spoof) sistem agar mempercayai bahwa mereka adalah orang lain Protokol Kerberos Protokol Kerberos dibangun berdasarkan kriptografi kunci simetris dari protokol Needham-Schroeder, dan dalam penggunaannya membutuhkan layanan dari pusat distribusi kunci (Key Distribution Center atau KDC). KDC merupakan pihak ketiga yang terpercaya dan terdiri dari dua bagian yang terpisah, yaitu AS (Authentication Service) dan TGS (Ticket-Granting Service). KDC menyimpan database kunci rahasia setiap entitas pada jaringan, baik pengguna maupun server. Kunci rahasia ini berfungsi untuk membuktikan identitas entitas dan hanya diketahui oleh pembuatnya sendiri dan KDC. Untuk komunikasi antara dua entitas, KDC menghasilkan kunci sesi yang dapat mereka gunakan untuk mengamankan interaksi mereka. Kunci sesi ini akan diproses bersamaan dengan tiket

11 16 kerberos sebagai otentikasi pengguna. Protokol kerberos sangat bergantung pada kemampuan tiap peserta menyerempakkan waktunya pada server KDC karena tiket Kerberos memiliki waktu hidup yang sangat singkat. Agar dapat melakukan aksinya Kerberos memiliki tiga subprotokol, protokol tersebut antara lain: Authentication Service (AS) Exchange yang digunakan oleh Key Distribution Center (KDC) untuk menyediakan Ticket-Granting Ticket (TGT) kepada pengguna dan membuat kunci sesi logon. Ticket-Granting Service (TGS) Exchange yang digunakan oleh KDC untuk mendistribusikan kunci sesi layanan dan tiket yang diasosiasikan dengannya. Client/Server (CS) Exchange yang digunakan oleh pengguna untuk mengirimkan sebuah tiket sebagai pendaftaran kepada sebuah layanan Cara Kerja Kerberos Adapun cara kerja Kerberos adalah sebagai berikut : 1. Komputer pengguna Kerberos akan mengirimkan sebuah permintaan terhadap server KDC untuk mengakses TGS dengan menggunakan protokol AS Exchange. Dalam permintaan tersebut terdapat bukti identitas pengguna dalam bentuk terenkripsi menggunakan kunci rahasia pengguna. 2. KDC kemudian menerima permintaan dari pengguna Kerberos, lalu mencari kunci utama (disebut sebagai Master Key) yang dimiliki oleh pengguna dalam layanan direktori Active Directory (dalam Windows 2000/Windows Server 2003

12 17 atau layanan direktori lainnya seperti LDAP) untuk selanjutnya melakukan dekripsi terhadap informasi identitas yang terdapat dalam permintaan yang dikirimkan. Jika identitas pengguna berhasil diverifikasi, KDC akan meresponnya dengan memberikan TGT dan sebuah kunci sesi untuk mengakses TGS dengan menggunakan protokol AS Exchange. 3. Pengguna selanjutnya mengirimkan permintaan yang terenkripsi dengan kunci sesi ini kepada KDC, permintaan itu mengandung TGT yang sebelumnya diterima dari KDC, dan identifier akses terhadap layanan aplikasi server target dengan menggunakan protokol TGS Exchange. 4. KDC selanjutnya menerima permintaan, melakukan otentikasi terhadap layanan, dan meresponsnya dengan memberikan sebuah tiket dan kunci sesi untuk mengakses server target kepada pengguna dengan menggunakan protokol TGS Exchange. 5. Pengguna selanjutnya mengirimkan permintaan terhadap server target yang mengandung tiket yang didapatkan sebelumnya dengan menggunakan protokol CS Exchange. Server target kemudian melakukan otentikasi terhadap tiket yang bersangkutan, membalasnya dengan sebuah kunci sesi, dan pengguna pun akhirnya dapat mengakses layanan yang tersedia dalam server. Meski terlihat rumit, pekerjaan ini dilakukan di balik layar sehingga tidak terlihat oleh pengguna. Sesi otentikasi Kerberos yang dilakukan antara pengguna dan server dapat dilihat seperti Gambar 2.5.

13 18 Gambar 2.5 Sesi Otentikasi Kerberos 2.3 LDAP (Light Weight Directory Access Protocol) LDAP (Light Weight Directory Access Protocol) adalah sebuah protokol yang mengatur mekanisme pengaksesan layanan direktori (Directory Service), yang dapat digunakan untuk mendeskripsikan banyak informasi seperti informasi tentang people, organizations, roles, services dan banyak entitas lainnya. LDAP menggunakan model client-server, dimana client mengirimkan identifier data kepada server menggunakan protokol TCP/IP dan server mencoba mencarinya pada DIT (Directory Information Tree) yang tersimpan di server. Bila ditemukan maka hasilnya akan dikirimkan ke client tersebut, namun bila tidak ditemukan maka hasilnya berupa pointer ke server lain yang menyimpan data yang dicari. Terdapat dua layanan utama pada LDAP yaitu slapd yang merupakan LDAP daemon dan slurpd yang merupakan replication daemon. Slapd melayani permintaan

14 19 dari pengguna, query dan berkomunikasi dengan database backend sedangkan slurpd melayani replikasi data agar terus terjadi sinkronisasi data antara client dan server, dan untuk memfasilitasi pengisian dan perubahan informasi data dalam direktori digunakanlah LDIF (LDAP Data Interchange Format) Konsep Dasar LDAP Untuk mempelajari LDAP, sangatlah penting untuk memahami maksud dari direktori dan apa fungsinya. Direktori dapat berupa personal address book, phone book, yellow pages bahkan web direktori seperti Yahoo. Direktori dapat membantu untuk menemukan informasi yang dibutuhkan, sebagai contoh yellow pages. Di dalam yellow pages dapat dicari alamat lengkap, nomor telepon, alamat website dan dari suatu perusahaan hanya dengan mencarinya berdasarkan nama dari perusahaan yang telah disusun secara alphabetis pada direktori yellow pages. Dalam terminologi komputer, directory service bisa dikatakan sebagai suatu database tempat penyimpanan data, yang dapat digunakan untuk memberikan informasi-informasi yang berkaitan dengan objeknya. Bagian direktori mungkin dapat berisi kumpulan informasi tentang pengguna seperti sure name, first name, phone number, User ID, mail address dan lain sebagainya. Untuk memudahkan pemahaman tentang konsep direktori ini, dijelaskan melalui model seperti Gambar 2.6.

15 20 Gambar 2.6 Konsep Direktori Secara prinsip struktur database pada suatu directory service adalah hierarki seperti yang ditunjukkan pada Gambar 2.6. Suatu directory service akan memiliki item yang dijadikan sebagai root. Untuk sebuah titik root, secara umum ditunjukkan dengan suatu attribut dc (Domain Component) atau o (Organization) mungkin juga ou (Organization Unit). Kemudian pada titik daun (leaf) biasanya akan berisi item dengan attribut uid (User ID) ataupun cn (Common Name). Directory service biasanya menyimpan informasi dalam bentuk struktur tree yang dinamakan Directory Information Tree (DIT). Setiap titik pada DIT diberi suatu alamat, baik secara relatif maupun secara absolut. Untuk suatu alamat relatif sering disebut sebagai RDN (Relative Distinguish Name) sedangkan alamat yang absolut di sebut sebagai DN (Distinguish Name). Jadi apabila ingin mendapatkan informasi tentang pengguna rsukmana seperti contoh pada Gambar 2.6 diatas, dapat dituliskan hasil pencariannya dengan dn=uid=rsukmana,ou=people,dc=smartbee,dc=com. Konsep seperti inilah yang

16 21 digunakan oleh direktori LDAP. LDAP, yaitu: Ada tiga hal yang sebaiknya diketahui dalam membangun sebuah server 1. Schema mendefinisikan seperangkat aturan yang mendeskripsikan jenis data apa saja yang akan disimpan, schema sangat membantu untuk menjaga konsistensi dan kualitas data sehingga mengurangi terjadinya duplikasi data. 2. ObjectClass merupakan sekumpulan entri yang menginformasikan jenis group, dan membutuhkan atribut yang biasanya terdiri atas attribute names, attribute type dan attribute syntax yang semuanya terkumpul dalam suatu data valid pada setiap kelasnya. 3. Attribute merupakan entri yang bersifat unik seperti uid, cn, sn,ou, o, dc dan lain sebagainya, attribute sendiri dapat merupakan single value maupun multiple value. Model informasi LDAP adalah berdasarkan entri. Sebuah entri adalah koleksi atribut yang mempunyai nama yang terbedakan (Distinguished Name/DN) secara global. DN ini digunakan sebagai referensi ke entri yang secara unik berbeda dengan nilai DN yang lainnya. Setiap atribut entri mempunyai sebuah tipe dengan satu nilai atau lebih. Tipe biasanya string singkatan khusus, seperti cn untuk common name, atau mail untuk alamat . Sintaks dari nilai bergantung kepada tipe atribut. Contoh, atribut cn mungkin berisi kata-kata repo. Atribut mail mungkin berisi alamat Dalam LDAP entri direktori disusun dalam sebuah hirarki struktur seperti pohon (tree). Struktur pohon LDAP saat ini pada umumnya berdasarkan nama

17 22 domain internet. Pendekatan penamaan layanan direktori mirip dengan penamaan pada DNS. Gambar 2.6 menunjukkan sebuah contoh pohon direktori LDAP menggunakan penamaan berdasarkan domain. Selain secara struktur pohon dengan penamaan internet, terdapat juga struktur pohon dengan cara penamaan tradisional seperti Gambar 2.7. Struktur ini merefleksikan geografis atau lingkup organisasi. Entri-entri mewakili negara-negara, terlihat di atas dari pohon (tree). Dibawahnya adalah entri yang menyatakan provinsi dan organisasi nasional. Dibawahnya lagi mungkin entri yang menyatakan unit organisasi, orang, printer, dokumen, dan lain-lain. Gambar 2.7 Struktur Pohon Direktori Cara Penamaan Tradisional LDAP dapat mengontrol atribut-atribut yang diperlukan dan diizinkan dalam sebuah entri, melalui penggunaan atribut spesial yang dinamakan objectclass. Angka-angka dari atribut objectclass menyatakan aturan (rule) skema yang ditaati oleh entri. Sebuah entri direferensi oleh nama yang berbeda dari yang lain, yang dibentuk dari nama entri itu sendiri. Nama ini disebut nama relatif yang membedakan

18 23 (Relative Distinguished Name/RDN) dengan menggabungkan nama-nama dari entrientri di atasnya atau sebelumnya. Operasi update yang ada, seperti untuk menambah dan menghapus sebuah entri dari direktori, adalah mengubah entri yang ada dengan mengubah nama dari entri tersebut. Sebagian besar waktu LDAP digunakan untuk operasi mencari informasi dalam direktori (query). Operasi pencarian LDAP memungkinkan beberapa bagian dari direktori untuk mencari entri-entri yang sama dengan beberapa kriteria yang dispesifikasikan oleh filter search Prinsip Kerja LDAP Secara teknis, LDAP adalah sebuah protokol untuk mengakses ke layanan direktori X.500, yang merupakan layanan direktori yang diatur oleh OSI. Awalnya, pengguna LDAP mengakses gateway ke layanan direktori X.500. Gateway ini menjalankan LDAP di antara client dan gateway, dan menjalankan Protokol Akses Direktori (Directory Access Protocol/DAP) X.500 antara gateway dan X.500 server. DAP adalah sebuah protokol kelas berat yang beroperasi melalui tumpukan protokol OSI secara penuh dan memerlukan pemrosesan yang sangat signifikan dari sumber daya komputasi. LDAP didesain untuk beroperasi melalui TCP/IP dan menyediakan sebagian besar dari fungsi DAP dengan biaya yang sangat lebih rendah. LDAP adalah protokol yang digunakan untuk mengakses direktori X.500 directory service (OSI-nya layanan direktori). Inisialisasi LDAP server merupakan gateway antara LDAP dengan X.500 Directory Access Protokol (DAP), sedangkan DAP merupakan protokol heavy-weight yang mengoperasikan stack protokol OSI secara penuh, konsekuensinya tentu saja sangat menyedot resource. LDAP hadir

19 24 dirancang menggunakan pendekatan protokol TCP/IP dikawinkan dengan fungsifungsi DAP sehingga fungsi DAP dapat dijalankan dengan lebih murah. Dengan adanya fungsi-fungsi DAP pada LDAP, tentu saja sangat meringankan pengaksesan X.500, tetapi tetap saja diperlukan pemakaian layanan X.500 secara penuh untuk dapat membuat banyak data LDAP pada client. Sehingga tetap diperlukan resource yang besar untuk memenuhi keperluan tersebut. Service direktori LDAP berdasarkan model client-server. Satu atau lebih server LDAP membentuk pohon (tree) direktori informasi. Client terkoneksi keserver dan mengajukan pertanyaan. Server merespon dengan jawaban dan / atau dengan pointer, ke arah mana client dapat mendapat tambahan informasi (khususnya keserver LDAP yang lain). Gambar 2.8 berikut menunjukkan proses koneksi dari client ke server LDAP pertama dan server LDAP kedua yang ditunjuk oleh server LDAP pertama. Gambar 2.8 Koneksi dari Client ke Server LDAP Pertama dan Kedua Tidak menjadi masalah pada server LDAP yang mana client akan terkoneksi. Client tersebut akan mendapat informasi yang sama dari server direktori berupa

20 25 sebuah nama yang direpresentasikan ke satu LDAP server sebagai entri referensi yang akan menunjuk ke server LDAP lainnya. Ini ciri khas penting bagi layanan direktori global seperti LDAP. Layanan direktori LDAP menyediakan proteksi keamanan yang dapat diatur pada saat pengguna akan melihat suatu informasi. Ketika pengguna melewati proses otentikasi atau login, pengguna yang tidak terotentikasi identitasnya, tidak memiliki izin untuk melihat informasi (tidak terotorisasi), sedangkan pengguna yang telah terotentikasi dapat melihat informasi sesuai dengan tingkatan otorisasi yang dimilikinya.