Jumat, 29 Mei 2015

Manajemen User Active Directory (AD)

Manajemen User Active Directory

Active Directory adalah layanan directory yang terdapat pada system operasi server. Active Directory terdiri atas basis data dan juga layanan directory. Active Directory menyediakan sarana untuk mengelola identitas dan hubungan yang membentuk organisasi. Active Directory yang ada pada Windows Server 2008R2 menyediakan berbagai fungsi untuk melakukan konfigurasi yaitu: administarasi system, pengguna (user), group, computer, dan pencarian directori. Active Directory juga memberikan cara untuk mengelola credential untuk mengizinkan pengguna yang sah yang dapat mengakses baik itu perangkat aplikasi maupun data.

1. Active Directory Domain Services
Active Directory Domain Services menyediakan database terdistribusi yang menyimpan dan mengelola informasi tentang sumber daya jaringan. Administrator dapat menggunakan AD DS untuk mengatur elemen jaringan, seperti pengguna, computer, group, printer, aplikasi, dan objek directory lain dari satu lokasi terpusat secara aman. Berikut service-service yang ada pada AD DS :
  • Manajemen user account
  • Authentikasi user
  • Manajemen computer account
  • Akses ke resource jaringan
  • Domain Wide Service
Jadi AD DS dapat dikatakan sebagai lokasi pusat untuk konfigurasi, pemrosesan permintaan untuk autentikasi, dan informasi tentang semua objek yang disimpan di dalam forest.

2. Komponen Active Directory Domain Services
Komponen AD DS komponen fisik dan komponen logic. Berikut komponen fisik dan logic dari AD DS:
Komponen Fisik
Komponen Logik
Data storePartitions
Domain controllersSchema
Global katalog serverdomains
Read-only domain controllerDomain trees
Forest
sites
Organizational unit (OU)
Tabel 1 Komponen Fisik dan Logik dari AD DS
  • Pengertian Domain
Domain adalah komponen logic dari direktori yang digunakan untuk mengelompokkan dan mengelola objek-objek AD DS dalam suatu organisasi. Tiap domain harus memiliki paling sedikit satu domain controller. Secara nyata, kita membuat domain dengan menginstal domain controller pertama didalam domain, dan menghapus sebuah domain dengan cara menghapus domain controller terakhir yang ada domain tersebut.
Domain menyediakan :
  1. Administrative boundary untuk menerapkan policy terhadap group-group dari objek.
  2. Replication boundary untuk keperluan replikasi data antar domain controller.
  3. Authentication dan Authorization boundary yang menyediakan suatu cara untuk membatasi cakupan akses resource
  • Definisi Authentikasi dan Authorisasi
Authentikasi adalah proses verifikasi identiras user di jaringan. Autentikasi itu sendiri di dalamnya terdapat dua komponen :
  1. Interactive logon yaitu log on secara interactif, mengkonfirmasikan identitas user pada computer tertentu dengan baik menggunakan domain account ataupun local computer.
  2. Network Authentication yaitu proses autentikasi yang mengkonfirmasikan identitas user ke berbagai network service untuk dapat di akses oleh user.
Autorisasi merupakan proses verifikasi apakah user yang telah di autentikasi memiliki izin untuk menjalankan aksi tertentu. Autorisasi merupakan langkah ke dua dalam proses mengakses resource di jaringan. Ketika user mencoba untuk mengakses resource jaringan, computer klien menghadirkan security token ke server yang memiliki resource tersebut. Security Identifier yang tersimpan dalam security token dibandingkan terhadap security descriptor yang tersimpan dalam Discretionary Access control list (DACL) pada resource dengan Securty Identifier yang terdapat pada security token.
  • Pengertian Domain Tree
Domain tree adalah hirarki dari domain-domain dalam AD DS. Domain pertama yang dibuat merupakan root domain. Domain selanjutnya yang ditambahkan ke dalam domain tree disebut child domain. Dalam satu domain tree, seluruh domain berada pada contiguous namespace. Sebagai contoh, jika root domain adalah team7c.com, child domainnya bisa menggunakan nama IT.team7c.com.
  • Pengertian Forest
Forest adalah sekumpulan atas satu atau lebih domain tree. Seluruh domain dan domain tree berada pada suatu Active Directory Forest.
  • Pengertian Organizational Unit (OU)
OU adalah container dari Active Directory yang dapat berisi User, Group, Komputer, dan OU lainnya. OU dapat dibentuk berdasarka departemen, divisi, fungsi kerja, project, dan lain sebagainnya. OU digunakan untuk :
  1. Mereprentasikan organisasi kita secara hirarki dan logic.
  2. Mengelola sekumpulan objek dalam suatu cara yang konsisten.
  3. Mendelegasikan izin akses untuk mengadministrasikan sekumpulan objek
  4. Menerapkan policy

3. Active Directory Domain Services Object
AD DS object adalah entitas yang dibuat pada AD DS domain controller. Seluruh objek AD DS terbagi menjadi satu atau lebih kategori, seperti resource (printer), services (email dan shared folder) dan users (individual atau group).

4. Active Directory Domain Services Trust
Trust menyediakan mekanisme bagi user untuk mengakses resource yang terletak pada domain lain. Domain yang memiliki resource yang diakses oleh user/group dari domain lain disebut trusted domain, dan domain yang melakukan trust dan memiliki user/group yang mengakses resource di domain lain disebut trusting domain.
Trust memiliki dua tipe :
  1. Directional : arah trust berasal dari trusting domain menuju trusted domain.
  2. Transitive : arah trust dua arah, masing-masing domain merupakan trusted dan trusting domain.

5. Active Directory Certificate Services
Active Directory Certificate Service menyediakan keamanan dalam jaringan organisasi, perusahaan dan internet dengan menggunakan digital certificates. AD CS berperan dalam distribusi dan manahemen digital certificates. Digital Certificates digunakan untuk mengenkripsi informasi.
Digital Certificate merupakan sertifikat yang terdiri dari file digital yaitu :
  1. Public Key adalah sertifikat yang dapat di distribusikan ke semua klien yang membutuhkan sertifikat, public key terdiri dari informasi mengenai subjek sertifikat, validity dari sertifikat, application dan service yang bisa memakai sertifikat tersebut, dan bisa mengetahui siapa yang memiliki sertifikat tersebut.
  2. Private Key adalah merupakan sertifikat yang hanya disimpan pada computer yang melakukan request sertifikat tersebut.
Public Key Infrastructure (PKI) digunakan untuk mendistribusikan dan mengelola digital certificates. Berikut komponen PKI :
  • Certification Authorities (CA) memiliki fungsi menerbitkan dan mengelola sertifikat untuk user, computer, dan service. Tiap sertifikat yang telah diterbitkan oleh CA ditandai dengan sertifikat digital dari CA.
  • Certificate revocation lists merupakan daftar sertifikat yang telah dicabut atau dihapus dari CA sebelum masa kadaluarsa.
  • Certificate and CA management tools memiliki fungsi menyediakan Graphical User Interface (GUI) maupun Command-lines tools untuk mengelola sertifikat-sertifikat yang telah diterbitkan, mempublikasikan CA certificates dan certificate Revocation List (CRLs), mengkonfigurasi CA, melakukan import dan eksport sertifikat dan key dan melakukan pemulihan berbagai private key yang telah di arsipkan.
AD CS memiliki fungsi yaitu :
  1. Menyediakan Certification Authority
  2. Menyediakan tool untuk membuat, menditribusikan dan mencabut sertifikat secara otomatis maupun manual
  3. Menyediakan certificate revocation services
  4. Mengintegrasikan CA services dengan AD DS.

6. Active Directory Right Management Services
Active Directory Right Management Service adalah implementasi dari enterprise right-management solution. AD RMS membantu melindungi informasi dengan cara :
  • Menyediakan tool untuk mendistribusikan sertifikat klien ke trusted klien
  • Enforcing contents access policies dan menyediakan manajemen secara terpusat
Dengan menggunakan AD RMS dan AD RMS Client, kita dapat menambahkan keamanan dengan cara melindungi informasi seperti laporan keuangan, spesifikasi produk, data pelanggan, dan email-email rahasia dari upaya akses yang tidak diizinkan.
Right-management bertujuan melindungi informasi yang tersimpan dalam dokumen, email, dan website terhadap upaya akses yang tidak diizinkan untuk dibaca, untuk dimodifikasi atau digunakan. Right-management dapat digunakan untuk membuat user tidak dapat mem-forward atau meng-copy isi dokumen ke user lain yang tidak berhak.Right-management menggunakan enkripsi dan digital signature dalam melindungi data dari akses yang dilarang juga upaya untuk memodifikasi.

Integrasi antara AD DS dengan AD RMS
AD RMS terintegrasi dengan AD DS dalam tiga area kunci:
  • Seluruh AD RMS User harus memiliki AD DS User Account. Sebelum user dapat menerapkan RMS policy terhadap isi dokumen, atau sebelum pengguna dapat mengakses isi dokumen, AD DS harus mengautentikasi user tersebut.
  • AD DS menyediakan alamat email dalam memperoleh hak akses atas isi dokumen. Seluruh user harus dikonfigurasi dengan alamat email, walaupun organisasi/perusahaan tersebut tidak mengimplementasikan server email.
  • AD RMS di registrasikan sebagai service connection points dalam AD DS agar client dapat menemukan server-server AD RMS.

7. Active Directory Federation Services
Active Directory Federation Service menyediakan service untuk memperluas autentikasi AD DS ke organisasi lain yang berbeda. Saat kita menggunakan AD FS, kita dapat mengaktifkan federated trust antara dua organisasi sehingga user account yang telah di autentikasi di satu organisasi memiliki trust untuk mengakses aplikasi di organisasi yang berbeda. Organisasi yang memiliki resource yang diakses oleh user dari organisasi yang berbeda disebut sebagai resource partner. Hal ini dapat dilakukan karena terdapat fasilitas untuk single sign-on antar organisasi untuk mengakses aplikasi-aplikasi web.
Manfaat dari AD FS antara lain mereduksi management overheadbagi administrator, karena hanya satu account yang di administrasi. Selain itu para pengguna hanya mengingat satu user credential saja, mereka dapat mengakses resource baik organisasi mereka maupun organisasi partner mereka.
Dengan menggunakan authentication assurance . Dengan fitur ini,administrator dapat membuat autentikasi policy untuk account yang di autentikasi di domain federasi. Hal ini memungkinkan dukungan untuk berbagai sekenario autentikasi lainnya, misalkan menggunakan smart card.

Integrasi AD DS dengan AD FS
  • AD FS memerlukan service direktori seperti AD DS atau AD LDS untuk menyimpan seluruh user account.
  • AD FS memungkinkan account partner dalam federation trust untuk mengelola seluruh user account.
  • Resource partner dapat menggunakan AD DS untuk membatasi akses ke aplikasi web
  • AD FS juga memperluas beberapa fungsionalitas AD DS untuk aplikasi terletak padaparameter network.

8. Active Directory Lightweight Directory Services
Active Directory LightWeight Directory Services merupakan directory yang menyediakan Lightweight Directory Access Protocol (LDAP) compliant and service. AD LDS menyediakan autentikasi dan directory services untuk aplikasi-aplikasi tanpa tergantung pada AD DS. Namun, dalam lingkungan dimana ada AD DS, AD LDS dapat menggunakan AD DS untuk otentikasi keamanan windows.


Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)