Rekan-rekan, sekedar coretan saya kali ini tentang “Restricting Delegated Authentication”….
Suatu organisasi/perusahaan perlu mengembangkan suatu strategi yang komprehensif dalam hal strategi autentikasi untuk keperluan verifikasi identity dari network user dan sekaligus menjaga amannya akses ke resources.
Sebelum membuat strategi autentikasi, kita perlu mengenal lebih dalam struktur organisasi, user-usernya, komputernya, berbagai aplikasi dan service-service yang memerlukan autentikasi.
Desain dari suatu strategi autentikasi melibatkan berbagai hal seperti mengevaluasi infrastruktur yang ada, membuat account, membuat metode untuk megamankan proses autentikasi dan membuat standar untuk autentikasi jaringan, serta time synchronization. Saat melakukan desain ini, kita perlu mengetahui jumlah domain controller di organisasi kita apakah jumlahnya cukup untuk memproses/mengautentikasi user berdasarkan jumlah request yang terjadi.
Kita dapat membuat account di dalam AD untuk seluruh entitas (users, computers dan resources lain) yang kemudian kita gunakan strategi penggroupan untuk account-account ini. Seting untuk access control kemudian diterapkan terhadap group-group tersebut agar account yang ada dapat menggunakan authenticated identity-nya untuk mengakses resource.
Dalam hal mengedukasi user, kita perlu menyediakan berbagai pedoman ke user, kita perlu mendorong agar user tidak men-share password mereka, dan juga selalu menggunakan password yang kompleks/strong.
Dalam membuat Active Directory accounts, kita gunakan Group Policy settings berikut:
-
Account Lockout Policy
-
Password Policy
Beberapa organisasi menggunakan strategi autentikasi yang kompleks agar sesuai dengan kebutuhan terutama melindungi data terhadap intruder.
Sebagai contoh, organisasi yang menggunakan web-based clients menggunakan berbagai aplikasi untuk mengakses data yang tersimpan pada back-end server. Dalam kasus seperti ini tentu saja diperlukan suatu strategi autentikasi seperti delegated authentication agar client dapat dengan aman menggunakan service-service tertentu berdasarkan requestnya.
Delegated authentication dilakukan saat suatu network service menerima request dari user untuk menginisiasi suatu koneksi baru dengan sebuah network service lainnya. Hal ini berguna untuk multi-tier applications yang didesain untuk menggunakan kapabilitas single sign-on pada multi komputer.
Untuk meg-enable delegated authentication, kita perlu menseting front end server, seperti web server, yang bertanggung jawab dalam menangani client request. Dan kita juga perlu mensetting back-end server, seperti database yang menyimpan informasi.
Untuk mendelegate authentication, kita perlu memberikan user right “Enable computer and user accounts to be trusted for delegation” ke user yang spesifik.
User-user ini kemudian dapat memberikan right “Trusted for delegation” ke komputer dan service account yang digunakan untuk menyediakan user informasi yang diamankan pada back end server.
Delegated authentication perlu dibatasi demi keamanan. Untuk membatasi delegated authentication untuk suatu objek, kita buka konsol Active Directory Users and Computers, dan pilih Users. Misalkan kita hendak membatasi delegated authentication pada Guest user account, setelah kita pilih user Guest, klik ke arah propertiesnya, lalu pilih tab Account kemudian scroll ke arah bawah dalam Account options list hingga kita temukan dan pilih Account is sensitive and cannot be delegated, kemudian klik OK.
Demikianlah, semoga bermanfaat…….