All Products
Search

This Product

    VPN Gateway:Membuat koneksi SSL-VPN dengan autentikasi AD

    Document Center

    VPN Gateway:Membuat koneksi SSL-VPN dengan autentikasi AD

    Last Updated:Mar 31, 2026

    Fitur otentikasi dua faktor pada SSL-VPN meningkatkan keamanan dengan mewajibkan klien melewati dua pemeriksaan: autentikasi sertifikat klien SSL dan autentikasi username serta password melalui Identity as a Service (IDaaS). Koneksi SSL-VPN hanya akan dibuat setelah kedua pemeriksaan berhasil. Saat menggunakan autentikasi IDaaS, Anda dapat menghubungkan server Active Directory (AD) untuk menerapkan autentikasi AD. Topik ini menjelaskan cara menggunakan fitur otentikasi dua faktor SSL-VPN agar klien dapat membuat koneksi SSL-VPN ke Virtual Private Cloud (VPC) setelah lulus autentikasi AD, lalu mengakses sumber daya di dalam VPC tersebut.

    Kasus penggunaan

    Topik ini menggunakan skenario yang ditunjukkan pada gambar sebelumnya. Sebuah perusahaan telah men-deploy aplikasi pada instance ECS di dalam VPC di wilayah China (Hangzhou). Untuk mendukung kebutuhan bisnis, karyawan yang sedang bepergian memerlukan akses remote ke sumber daya di VPC tersebut. Perusahaan tersebut mengelola sistem AD on-premises sendiri dan mewajibkan karyawan diautentikasi oleh server AD sebelum dapat mengakses sumber daya VPC.

    Perusahaan dapat menggunakan fitur SSL-VPN dari gateway VPN, mengaktifkan otentikasi dua faktor, dan mengonfigurasi aplikasi IDaaS untuk autentikasi AD. Saat karyawan mencoba membuat koneksi SSL-VPN, klien terlebih dahulu diautentikasi menggunakan sertifikat klien SSL. Kemudian, instans IDaaS EIAM melakukan autentikasi AD dengan meneruskan username dan password karyawan ke server AD perusahaan untuk verifikasi dan mengembalikan hasilnya. Klien hanya dapat membuat koneksi SSL-VPN dan mengakses sumber daya di VPC setelah kedua metode autentikasi berhasil.

    Prasyarat

    • Anda telah membuat VPC di wilayah China (Hangzhou) dan men-deploy aplikasi Anda pada instance ECS di dalam VPC tersebut. Untuk informasi lebih lanjut, lihat Buat VPC dengan blok CIDR IPv4.

      Pastikan aturan grup keamanan yang diterapkan pada instance ECS mengizinkan klien mengakses sumber daya cloud. Untuk informasi lebih lanjut, lihat Lihat aturan grup keamanan dan Tambahkan aturan grup keamanan.

    • Pastikan klien dapat mengakses jaringan publik dan blok CIDR pribadi klien tidak tumpang tindih dengan blok CIDR pribadi VPC.

    • Anda telah membuat instans IDaaS EIAM Edisi Perusahaan. Untuk informasi lebih lanjut, lihat Manajemen instans.

      Penting

    • Anda memiliki alamat IP publik dan port layanan server AD Anda.

      Dalam contoh ini, sistem AD dideploy pada sistem Windows Server 2022. Alamat IP publiknya adalah 47.XX.XX.62 dan port layanannya adalah 389.

    • Anda memiliki Base DN server AD Anda.

      Dalam contoh ini, Base DN server AD adalah dc=zxtest,dc=com.

    • Anda memiliki DN administrator, username, dan password server AD Anda.

      Dalam contoh ini, nama akun administrator adalah Administrator dan password-nya adalah 1****2. DN-nya adalah cn=Administrator,cn=Users,dc=zxtest,dc=com, seperti yang ditunjukkan pada gambar berikut.管理员DN

    Prosedur

    Langkah 1: Hubungkan server AD

    Hubungkan server AD ke instans IDaaS EIAM Anda untuk menyinkronkan informasi akun dari server AD ke instans tersebut. Untuk informasi lebih lanjut, lihat Bind AD - Inbound.

    Dalam contoh ini, nilai default digunakan untuk semua parameter kecuali parameter yang diperlukan saat Anda menghubungkan server AD. Gambar berikut menunjukkan informasi akun yang disinkronkan dari server AD ke instans IDaaS EIAM.

    2024-05-10_17-09-24

    Langkah 2: Tambahkan aplikasi SSL-VPN

    1. Login ke Konsol IDaaS.

    2. Pada halaman EIAM, temukan instans IDaaS EIAM yang telah Anda buat di bagian Prasyarat. Pada kolom Actions, klik Console.

    3. Di panel navigasi kiri instans EIAM, pilih Application. Pada halaman Application, klik Add Application.

    4. Pada halaman Add Application, temukan templat Alibaba Cloud - SSL VPN dan klik Add Application.

    5. Pada kotak dialog Add Application, masukkan nama untuk aplikasi tersebut dan klik Add.

    6. Pada tab Sign-In di halaman detail aplikasi, konfigurasikan pengaturan berikut lalu klik Save di bagian bawah tab.

      SSO: Biarkan fitur ini tetap diaktifkan.

      Grant Types: Nilai default adalah Password Grant. Untuk IdP, pilih server AD yang telah Anda hubungkan. Sistem akan menggunakan server AD ini untuk mengautentikasi identitas karyawan.

      Authorize: Gunakan nilai default Manually. Dengan opsi ini, Anda harus memberikan izin secara manual kepada akun tertentu untuk mengakses aplikasi ini. Untuk informasi lebih lanjut tentang cakupan otorisasi, lihat Authorization scope.

    7. Tetap di tab Sign-In dan klik tab Application Authorization.

      Tambahkan otorisasi untuk akun karyawan yang perlu membuat koneksi SSL-VPN. Untuk detailnya, lihat Application authorization.

    Langkah 3: Buat gateway VPN

    1. Login ke Konsol gateway VPN.

    2. Pada halaman VPN Gateways, klik Create VPN Gateway.

    3. Pada halaman VPN Gateway, konfigurasikan gateway VPN berdasarkan informasi berikut, lalu klik Buy Now dan selesaikan pembayaran.

      Topik ini hanya menjelaskan parameter yang diperlukan. Gunakan nilai default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan kelola instans gateway VPN.

      Parameter

      Deskripsi

      Region

      Pilih wilayah tempat Anda ingin membuat gateway VPN. Dalam contoh ini, China (Hangzhou) dipilih.

      Catatan

      Gateway VPN harus berada di wilayah yang sama dengan VPC.

      Gateway type

      Pilih jenis gateway VPN. Dalam contoh ini, Standard dipilih.

      Network Type

      Pilih jenis jaringan untuk instans gateway VPN. Dalam contoh ini, Public dipilih.

      Tunnels

      Sistem menampilkan mode saluran data yang didukung untuk koneksi IPsec-VPN di wilayah saat ini.

      Virtual Private Cloud

      Pilih instans VPC yang ingin Anda hubungkan.

      vSwitch 1

      Pilih vSwitch dari instans VPC.

      • Jika Anda memilih Single-tunnel, Anda hanya perlu menentukan satu vSwitch.

      • Jika Anda memilih Dual-tunnel, Anda perlu menentukan dua vSwitch.

        Setelah fitur IPsec-VPN diaktifkan, sistem membuat antarmuka jaringan elastis (ENI) untuk masing-masing dari dua vSwitch tersebut sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menggunakan satu alamat IP di vSwitch tersebut.

      Catatan

      • Sistem memilih vSwitch secara default. Anda dapat mengubah atau menggunakan vSwitch default tersebut.

      • Setelah gateway VPN dibuat, Anda tidak dapat mengubah vSwitch yang terkait dengan gateway VPN tersebut. Anda dapat melihat vSwitch yang terkait dengan gateway VPN, zona tempat vSwitch tersebut berada, dan ENI di vSwitch tersebut pada halaman detail gateway VPN.

      vSwitch 2

      Pilih vSwitch kedua dari instans VPC.

      • Tentukan dua vSwitch di zona berbeda dalam VPC terkait untuk menerapkan pemulihan bencana lintas zona untuk koneksi IPsec-VPN.

      • Untuk wilayah yang hanya mendukung satu zona, pemulihan bencana lintas zona tidak didukung. Kami menyarankan Anda menentukan dua vSwitch di zona tersebut untuk menerapkan ketersediaan tinggi koneksi IPsec-VPN. Anda juga dapat memilih vSwitch yang sama dengan yang pertama.

      Catatan

      Jika vSwitch kedua tidak tersedia di VPC, Anda dapat membuatnya. Untuk informasi lebih lanjut, lihat Buat dan kelola vSwitch.

      IPsec-VPN

      Menentukan apakah akan mengaktifkan fitur IPsec-VPN. Dalam contoh ini, pilih Disable.

      SSL-VPN

      Menentukan apakah akan mengaktifkan fitur SSL-VPN. Dalam contoh ini, pilih Enable.

      SSL connections

      Pilih jumlah maksimum klien yang dapat terhubung.

      Catatan

      Anda dapat mengonfigurasi SSL connections hanya setelah Anda mengaktifkan fitur SSL-VPN.

    4. Kembali ke halaman VPN Gateways untuk melihat instans gateway VPN yang telah dibuat.

      Instans gateway VPN yang baru dibuat berada dalam status Preparing. Setelah 1 hingga 5 menit, statusnya berubah menjadi Normal. Status Normal menunjukkan bahwa gateway VPN telah diinisialisasi dan siap digunakan.

    Langkah 4: Buat server SSL

    1. Di panel navigasi kiri, pilih Interconnections > VPN > SSL Servers.

    2. Di bilah navigasi atas, pilih wilayah untuk Server SSL.

      Catatan

      Server SSL harus berada di wilayah yang sama dengan gateway VPN.

    3. Pada halaman SSL Server, klik Create SSL Server.

    4. Di panel Create SSL Server, konfigurasikan server SSL dengan parameter berikut, lalu klik OK.

      Topik ini hanya menjelaskan parameter yang diperlukan. Gunakan nilai default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan kelola server SSL.

      Parameter

      Deskripsi

      VPN Gateways

      Pilih instans gateway VPN yang telah Anda buat.

      Local Network

      Masukkan blok CIDR VPC yang akan diakses. Contoh: 192.168.0.0/16.

      Client CIDR Block

      Masukkan blok CIDR yang akan digunakan klien untuk mengakses VPC. Dalam contoh ini, masukkan 10.0.0.0/24.

      Penting

      • Panjang prefiks subnet mask untuk Client CIDR Block harus antara 16 hingga 29 bit.

      • Blok CIDR klien tidak boleh tumpang tindih dengan local CIDR block, blok CIDR VPC, atau blok CIDR rute yang terkait dengan klien.

      • Kami menyarankan Anda menggunakan 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, atau subnet-nya untuk blok CIDR klien. Jika Anda harus menggunakan rentang alamat IP publik, Anda harus mengonfigurasinya sebagai blok CIDR yang ditentukan pengguna untuk VPC guna memastikan perutean yang tepat. Untuk informasi lebih lanjut, lihat FAQ VPC.

      • Setelah Anda membuat server SSL, sistem secara otomatis menambahkan rute untuk Client CIDR Block ke tabel rute VPC. Jangan tambahkan rute ini secara manual ke tabel rute VPC. Jika tidak, koneksi SSL-VPN mungkin terganggu.

      Advanced Settings

      Aktifkan fitur otentikasi dua faktor. Contoh ini menggunakan EIAM 2.0. Gunakan nilai default untuk parameter lainnya.

      • IDaaS Instance Region: Pilih China (Hangzhou).

      • IDaaS Instance: Pilih instans EIAM yang telah Anda buat di bagian Prasyarat.

      • IDaaS Application: Pilih aplikasi Alibaba Cloud SSL-VPN.

        Catatan

        Saat Anda membuat server SSL di wilayah UAE (Dubai), kami menyarankan Anda mengaitkan server SSL tersebut dengan instans IDaaS EIAM 2.0 di Singapura untuk mengurangi latensi.

    Langkah 5: Buat sertifikat klien SSL

    1. Di panel navigasi kiri, pilih Interconnections > VPN > SSL Clients.

    2. Pada halaman SSL Client, klik Create SSL Client.

    3. Di panel Create SSL Client, masukkan nama untuk klien SSL, pilih SSL Server, lalu klik OK.

    4. Pada halaman SSL Client, temukan klien SSL yang telah Anda buat, lalu di kolom Actions, klik Download Certificate.

      Simpan sertifikat klien SSL yang diunduh ke perangkat lokal Anda. Anda akan menggunakannya nanti untuk konfigurasi klien.

    Langkah 6: Konfigurasi klien

    Konfigurasi klien Linux

    1. Buka terminal baris perintah.

    2. Jalankan perintah berikut untuk menginstal klien OpenVPN.

      CentOS
      yum install -y openvpn
mkdir -p /etc/openvpn/conf
      Ubuntu
      apt-get update
apt-get install -y openvpn
mkdir -p /etc/openvpn/conf

    3. Ekstrak paket sertifikat klien SSL yang diunduh dan salin file-file tersebut ke direktori /etc/openvpn/conf/.

    4. Masuk ke direktori /etc/openvpn/conf/, jalankan perintah berikut, lalu masukkan username dan password Anda. Setelah klien lulus autentikasi AD, koneksi SSL-VPN akan dibuat. 

      openvpn --config /etc/openvpn/conf/config.ovpn --daemon

      2024-05-11_10-47-04

    Konfigurasi klien Windows

    1. Unduh dan instal klien OpenVPN untuk Windows.

    2. Ekstrak paket sertifikat klien SSL yang diunduh dan salin file-file tersebut ke direktori OpenVPN\config.

      Dalam contoh ini, sertifikat disalin ke direktori C:\Program Files\OpenVPN\config. Salin sertifikat ke direktori instalasi aktual pada sistem Anda.

    3. Jalankan klien OpenVPN, klik Connect, lalu masukkan username dan password Anda. Setelah klien lulus autentikasi AD, koneksi SSL-VPN akan dibuat.

      2024-05-11_10-56-59

    Konfigurasi klien macOS (OpenVPN)

    1. Buka antarmuka baris perintah.

    2. Jika Homebrew belum diinstal pada klien Anda, jalankan perintah berikut untuk menginstalnya.

      /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

    3. Jalankan perintah berikut untuk menginstal klien OpenVPN. 

      brew install openvpn

    4. Ekstrak sertifikat klien SSL yang diunduh dan salin ke direktori konfigurasi.

      1. Cadangkan semua file konfigurasi di direktori /usr/local/etc/openvpn.

        Penting

        Jalur instalasi default untuk OpenVPN dapat berbeda tergantung versi macOS. Gunakan jalur instalasi aktual Anda.

      2. Jalankan perintah berikut untuk menghapus file konfigurasi OpenVPN.

        rm /usr/local/etc/openvpn/*

      3. Jalankan perintah berikut untuk menyalin sertifikat klien SSL yang diunduh ke direktori konfigurasi.

        cp cert_location /usr/local/etc/openvpn/

        cert_location adalah jalur ke sertifikat klien SSL yang diunduh, misalnya, /Users/example/Downloads/certs6.zip.

    5. Jalankan perintah berikut untuk mengekstrak sertifikat.

      cd  /usr/local/etc/openvpn/
unzip /usr/local/etc/openvpn/certs6.zip

    6. Masuk ke direktori /usr/local/etc/openvpn/, jalankan perintah berikut, lalu masukkan username dan password Anda untuk membuat koneksi SSL-VPN.

      sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn

    Langkah 7: Uji konektivitas

    Setelah menyelesaikan langkah-langkah sebelumnya, klien dapat mengakses sumber daya di VPC secara remote. Langkah-langkah berikut menunjukkan cara menguji konektivitas antara klien Linux dan VPC.

    1. Buka antarmuka baris perintah pada klien.

    2. Jalankan perintah ping untuk mengakses instans ECS1 di VPC dan verifikasi konektivitas.

      ping <alamat IP instans ECS1>

      Menerima paket balasan, seperti yang ditunjukkan pada gambar, mengonfirmasi bahwa klien dapat mengakses sumber daya di VPC.

      2024-05-09_17-05-07

    Konfigurasi IDaaS EIAM 1.0

    Untuk menggunakan instans IDaaS EIAM 1.0, ikuti langkah-langkah berikut. Anda harus mengaktifkan autentikasi LDAP dan menghubungkan instans EIAM 1.0 saat membuat server SSL. Langkah-langkah lainnya sama seperti yang dijelaskan di atas dan tidak diulang.

    Prosedur

    Aktifkan autentikasi LDAP

    Sebelum Anda dapat membuat koneksi SSL-VPN, Anda harus mengaktifkan fitur autentikasi LDAP di instans IDaaS EIAM 1.0 dan menyinkronkan data akun untuk autentikasi selanjutnya.

    1. Tambahkan sumber autentikasi LDAP.

      1. Login ke Konsol IDaaS.

      2. Pada halaman EIAM, klik tab Legacy Version dan temukan ID instans target Anda.

      3. Di panel navigasi kiri, klik Authentication Source.

      4. Di pojok kanan atas halaman Authentication Source, klik Add Authentication Source.

      5. Pada halaman Add Authentication Source, temukan ikon LDAP LDAP图标 dan klik Add Authentication Source di kolom Actions.

      6. Di panel Add Authentication Source (LDAP), konfigurasikan informasi server LDAP (dalam hal ini, server AD), lalu klik Submit.

        • ID: Dihasilkan secara otomatis oleh sistem.

        • Name: Masukkan nama kustom.

        • LDAP URL: Alamat koneksi server LDAP, yaitu server tempat sistem AD Anda dideploy. Gunakan format ldap://127.0.0.1:389/. Dalam contoh ini, masukkan ldap://47.XX.XX.62:389/.

          Jika alamat IP host dalam format IPv6, sertakan alamat tersebut dalam tanda kurung siku ([]), misalnya: ldap://[0000:0000:0000:0000:0000:0000:0001]:389/.

          Catatan

          IDaaS hanya mendukung akses melalui jaringan publik. Server LDAP harus memiliki alamat IP publik dan membuka port 389. Anda dapat mengonfigurasi aturan grup keamanan untuk server LDAP Anda agar hanya mengizinkan akses dari alamat IP publik IDaaS. Untuk mendapatkan alamat IP publik IDaaS, silakan buat tiket ke tim IDaaS Alibaba Cloud.

        • LDAP base: Base DN server LDAP. Dalam contoh ini, masukkan dc=zxtest,dc=com.

        • LDAP Account: DN akun administrator server LDAP. Dalam contoh ini, masukkan cn=Administrator,cn=Users,dc=zxtest,dc=com.

        • LDAP account password: Password untuk akun administrator server LDAP.

        • Filter Condition: Kondisi filter untuk mengkueri username. Dalam contoh ini, masukkan (sAMAccountName=$username$).

          Untuk informasi lebih lanjut tentang aturan pencocokan, lihat dokumentasi resmi LDAP tentang LDAP Filters. Parameter $username$ adalah nilai tetap yang merepresentasikan username sistem IDaaS.

      7. Pada halaman Authentication Source, temukan sumber autentikasi target. Di kolom status, klik ikon 启用. Di kotak dialog yang muncul, klik Submit untuk mengaktifkan sumber autentikasi LDAP.

    2. Konfigurasikan sinkronisasi akun LDAP untuk mengimpor data akun dari server LDAP ke IDaaS.

      1. Di panel navigasi kiri, klik OUs and Groups.

      2. Di pojok kanan atas halaman OUs and Groups, klik Configure LDAP. Di panel Configure LDAP, klik Create.

      3. Di panel Configure LDAP, pada tab Server Connection, konfigurasikan informasi berikut, lalu klik Save.

        • AD/LDAP Name: Masukkan nama kustom.

        • Server Address: Masukkan alamat IP publik server LDAP Anda. Dalam contoh ini, masukkan 47.XX.XX.62.

        • Port Number: Masukkan nomor port layanan server LDAP Anda. Dalam contoh ini, masukkan 389.

        • Base DN: Masukkan DN node untuk akun yang akan disinkronkan. Dalam contoh ini, masukkan dc=zxtest,dc=com.

          Catatan

          Pengaturan ini tidak dapat diubah setelah ditambahkan. Jika Base DN diubah selama sinkronisasi data antara IDaaS dan server LDAP (atau AD), direktori organisasi kedua sistem mungkin tidak cocok, sehingga menyebabkan kegagalan sinkronisasi. Untuk menyinkronkan data dari direktori berbeda, kami menyarankan menambahkan beberapa konfigurasi LDAP.

        • Administrator DN: Masukkan DN akun administrator. Dalam contoh ini, masukkan cn=Administrator,cn=Users,dc=zxtest,dc=com.

        • Password: Masukkan password untuk akun administrator.

        • Select Type: Pilih jenis server LDAP Anda. Dalam contoh ini, pilih Windows AD.

        • Owned OU node: Node di organisasi IDaaS tempat data akun diimpor. Jika Anda tidak memilih node, data diimpor ke OU root. Dalam contoh ini, nilai default digunakan.

        • From LDAP to IDaaS: Saat diaktifkan, Anda dapat menyinkronkan data dari server LDAP ke IDaaS secara manual. Dalam contoh ini, pilih Enable.

        • Provision from IDaaS to LDAP: Saat diaktifkan, data dapat disinkronkan dari IDaaS ke server LDAP. Dalam contoh ini, pilih Enable.

        Setelah menyelesaikan konfigurasi di atas, Anda dapat mengklik Test Connection untuk menguji koneksi. Jika pengujian gagal, periksa konektivitas jaringan dan apakah parameter koneksi sudah benar.

      4. Di panel Configure LDAP, pada tab Field Matching Rules, konfigurasikan informasi berikut, lalu klik Save.

        Aturan pencocokan bidang memetakan bidang di IDaaS ke atribut server LDAP. Misalnya, atribut cn di server LDAP dapat dipetakan ke bidang username di IDaaS.

        • UserName: Dalam contoh ini, masukkan cn .

          Catatan

          Jika nilai bidang cn untuk akun di sistem AD Anda dalam bahasa Tiongkok, akun tersebut tidak dapat ditarik ke IDaaS. Kami menyarankan menggunakan bidang sAMAccountName sebagai gantinya.

        • External ID: Untuk Windows AD, gunakan objectGUID. Untuk OpenLDAP, gunakan uid. Dalam contoh ini, masukkan objectGUID .

        • Password Attribute: Untuk Windows AD, gunakan unicodePwd. Untuk OpenLDAP, gunakan userPassword. Dalam contoh ini, masukkan unicodePwd .

        • User Unique Identifier: Untuk Windows AD, gunakan DistinguishedName. Untuk OpenLDAP, gunakan EntryDN. Dalam contoh ini, masukkan DistinguishedName .

        • Email: Dalam contoh ini, masukkan mail .

      5. Pada halaman OUs and Groups, pilih Import > OU.

      6. Di panel LDAP List, temukan LDAP target, klik Import, lalu klik Submit di kotak dialog yang muncul. Di panel OU Temporary Data, konfirmasi informasi organisasi dan klik Submit.

      7. Pada halaman saat ini, di area OUs, pilih organisasi target. Di area detail organisasi, pilih Import > Account.

      8. Di panel LDAP List, temukan LDAP target, klik Import, lalu klik Submit di kotak dialog yang muncul. Di panel Account Temporary Data LDAP List, konfirmasi informasi akun, klik Submit, lalu atur password default untuk akun yang diimpor untuk menyelesaikan sinkronisasi informasi akun dari server LDAP ke sistem IDaaS.

        Penting

        Untuk login berikutnya, klien harus menggunakan password dari server AD. Password yang diatur di sini adalah password awal untuk akun IDaaS.

    3. Aktifkan autentikasi LDAP produk cloud.

      1. Di panel navigasi kiri, pilih Settings > Security Settings.

      2. Pada halaman Security Settings, klik tab AD Authentication for Cloud Service.

      3. Pilih sumber autentikasi LDAP yang baru saja Anda buat, aktifkan fitur tersebut, lalu klik Save.

        认证源