# ADR-0003 — Auth via LDAP Active Directory **Tanggal:** 2025-xx-xx **Status:** Accepted --- ## Konteks Perlu menentukan mekanisme autentikasi untuk geonet-console. Sudah ada Active Directory di 10.100.1.40 (domain `gisportal.id`) yang mengelola semua user dan laptop IT. ## Keputusan Autentikasi melalui **LDAP bind ke Active Directory**. Tidak ada user lokal di geonet-console. Setelah berhasil bind, server mengeluarkan **JWT** untuk sesi selanjutnya. ## Alasan - Semua user IT sudah ada di AD — tidak perlu manage user terpisah - Single source of truth untuk identity - Group AD (`Domain Admins`, `IT-Admin`, dll.) dipakai untuk RBAC - Tidak perlu forgot password / registration flow (AD yang kelola) ## Alternatif Ditolak - **Local user DB:** Perlu manage password terpisah, duplikasi identity - **OAuth2 external (Google, dll.):** Tidak cocok untuk internal IT tool - **Kerberos SSO:** Kompleksitas tinggi untuk tim kecil ## Konsekuensi - `LDAP_BIND_PASSWORD` wajib diisi di `.env` server - Jika AD 10.100.1.40 down → login tidak bisa (unavoidable tradeoff) - JWT refresh tersedia agar user tidak perlu login ulang terlalu sering - Admin group: `Domain Admins`, `Administrators`, `Enterprise Admins`