Archive

Posts Tagged ‘Single Sign On’

Freeradius2 menggunakan backend LDAP Zimbra Collaboration Suite (ZCS)

March 21st, 2012 No comments

Remote Authentication Dial-In User Service (sering disingkat menjadi RADIUS) adalah sebuah protokol keamanan komputer yang digunakan untuk melakukan autentikasi, otorisasi, dan pendaftaran akun pengguna secara terpusat untuk mengakses jaringan. RADIUS didefinisikan di dalam RFC 2865 dan RFC 2866, yang pada awalnya digunakan untuk melakukan autentikasi terhadap akses jaringan secara jarak jauh dengan menggunakan koneksi dial-up. RADIUS, kini telah diimplementasikan untuk melakukan autentikasi terhadap akses jaringan secara jarak jauh dengan menggunakan koneksi selain dial-up, seperti halnya Virtual Private Networking (VPN), access point nirkabel, switch Ethernet, dan perangkat lainnya. (WIKI)

Aplikasi radius open source terpopuler dan paling banyak digunakan adalah freeradius, fleksibilitas terhadap berbagai platform, fast, feature-rich, modular dan scalable membuat aplikasi ini sering dijadikan sebagai backend modul authentikasi berbagai layanan infrastructure ICT. Mengutip dari website resminya di alamat http://freeradius.org  release freeradius stable terbaru  yaitu Versi 2.1.12. Release versi terbaru ini sudah mensupport KERBEROS, HEIMDAL, LDAP, PGSQL, UNIXODBC, FIREBIRD, PERL, PYTHON, ORACLE, RUBY, DHCP.

Feature improvement versi 2 ini dibandingkan versi radius sebelumnya adalah sebagai berikut; ( http://freeradius.org )

  • Updates to dictionary.erx, dictionary.siemens, dictionary.starent, dictionary.starent.vsa1, dictionary.zyxel, added dictionary.symbol
  • Added support for PCRE from Phil Mayers
  • Configurable file permission in rlm_linelog
  • Added “relaxed” option to rlm_attr_filter. This copies attributes if at least one match occurred.
  • Added documentation on dynamic clients. See raddb/modules/dynamic_clients.
  • Added support for elliptical curve cryptography. See ecdh_curve in raddb/eap.conf.
  • Added support for 802.1X MIBs in checkrad
  • Added support for %{rand:…}, which generates a uniformly distributed number between 0 and the number you specify.
  • Created “man” pages for all installed commands, and documented options for all commands. Patch from John Dennis.
  • Allow radsniff to decode encrypted VSAs and CoA packets. Patch from Bjorn Mork.
  • Always send Message-Authenticator in radtest. Patch from John Dennis. radclient continues to be more flexible.
  • Updated Oracle schema and queries
  • Added SecurID module. See src/modules/rlm_securid/README

Jika anda tertarik untuk menggunakan modul scheme database LDAP milik Zimbra Collaboration Suite (ZCS) untuk digunakan sebagai infrastructure akun user organisasi anda, maka akan sangat menarik apabila kedua layanan ini bisa diintegrasikan.

Ujicoba kali ini akan dilakukan pada sebuah server dengan sistem operasi FreeBSD lalu menjalankan freeradius2 dan mengquery akses user menggunakan scheme database akun LDAP Zimbra ZCS versi 6.

1.  Langkah pertama pastikan sistem operasi FreeBSD telah berjalan baik.

BGP-UNILA-MORATEL# uname -a
FreeBSD BGP-UNILA-MORATEL 9.0-RELEASE FreeBSD 9.0-RELEASE #0: Tue Jan  3 07:46:30 UTC 2012     root@farrell.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC  amd64
BGP-UNILA-MORATEL#

2.  Pastikan bahwa layanan LDAP pada zimbra server berjalan dengan baik

zimbra@zimbra:/root$ ps ax | grep ldap
1320 ?        Ssl    0:20 /opt/zimbra/openldap/sbin/slapd -l LOCAL0 -u zimbra -h ldap://zimbra.unila.ac.id:389 ldapi:/// -F /opt/zimbra/data/ldap/config
3769 pts/0    S+     0:00 grep ldap
zimbra@zimbra:/root$

3.  Install aplikasi freeradius2 bukan versi 1

BGP-UNILA-MORATEL# cd /usr/ports/net/freeradius2

4.  Pilih parameter modul yang akan diaktifkan pada aplikasi freeradius.

BGP-UNILA-MORATEL# make config

Read more…

How to configure Squid With Radius Authentication

December 23rd, 2011 No comments

Squid adalah sebuah daemon yang digunakan sebagai proxy server dan web cache. Squid memiliki banyak jenis penggunaan, mulai dari mempercepat server web dengan melakukan caching permintaan yang berulang-ulang, caching DNS, caching situs web, dan caching pencarian komputer di dalam jaringan untuk sekelompok komputer yang menggunakan sumber daya jaringan yang sama, hingga pada membantu keamanan dengan cara melakukan penyaringan (filter) lalu lintas. Meskipun seringnya digunakan untuk protokol HTTP dan FTP, Squid juga menawarkan dukungan terbatas untuk beberapa protokol lainnya termasuk Transport Layer Security (TLS), Secure Socket Layer (SSL), Internet Gopher, dan HTTPS. Versi Squid 3.1 mencakup dukungan protokol IPv6 dan Internet Content Adaptation Protocol (ICAP).

Squid pada awalnya dikembangkan oleh Duane Wessels sebagai “Harvest object cache”, yang merupakan bagian dari proyek Harvest yang dikembangkan di University of Colorado at Boulder. Pekerjaan selanjutnya dilakukan hingga selesai di University of California, San Diego dan didanai melalui National Science Foundation. Squid kini hampir secara eksklusif dikembangkan dengan cara usaha sukarela. Squid umumnya didesain untuk berjalan di atas sistem operasi mirip UNIX, meski Squid juga bisa berjalan di atas sistem operasi Windows. Karena dirilis di bawah lisensi GNU General Public License, maka Squid merupakan perangkat lunak bebas. (http://id.wikipedia.org/wiki/Squid)

Sistem Autentikasi di Squid
Squid mendukung 4 skema autentikasi, yaitu:

  •     Basic
  •     Digest
  •     NTLM
  •     Negotiate (mulai dari versi 2.6)

Basic Authentication
Adalah skema autentikasi yang didukung dan berfungsi dengan baik pada semua browser, skema autentikasi basic ini memiliki satu kelemahan utama, yaitu proses pengiriman data user dan password dikirim dalam format plain text. Sehingga  sangat rentan terhadap proses Sniffing/Penyadapan saat proses autentikasi berlangsung. Skema ini tidak disarankan ketika layanan yang diberikan akan diakses melalui jaringan internet. Tapi masih bisa ditolerir jika layanan itu dibuat untuk kalangan terbatas, misalnya LAN kantor. Dan karena squid pada umumnya digunakan di jaringan terbatas, skema autentikasi ini masih bisa digunakan.

Helper atau program bantu untuk autentikasi ke backend
Squid menyediakan beberapa program bantu untuk skema autentikasi basic. Anda bisa memilih mana yang cocok dengan keperluan Anda.

  •     LDAP: Autentikasi ke LDAP.
  •     NCSA: Menggunakan format penulisan username dan password format NCSA.
  •     MSNT: Autentikasi ke domain Windows NT.
  •     PAM: Menggunakan skema autentikasi PAM yang umum digunakan di sistem operasi Unix/Linux.
  •     SMB: Menggunakan server SMB seperti Windows NT atau Samba.
  •     getpwam: Menggunakan cara kuno, berkas password di Unix/Linux.
  •     SASL: Mengggunakan pustaka SASL.
  •     mswin_sspi: Windows native authenticator.
  •     YP: Menggunakan database NIS.

Digest Authentication
Skema autentikasi digest diperkenalkan untuk mengatasi kelemahan yang ada di skema autentikasi basic. Skema ini lebih aman, karena pada saat autentikasi, data username dan password tidak dikirim dalam format plain text. Secara umum, kelebihan skema autentikasi digest dibandingkan skema autentikasi basic, yaitu lebih aman. Tapi sayangnya tidak didukung oleh semua browser. Internet Explorer 5 & 6 adalah salah satu browser yang tidak mendukung skema autentikasi digest.

Read more…