GeoNetAgent, LDAPWeb, server-audit, server-connection
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
 
 
 
 
 
 

1.2 KiB

ADR-0003 — Auth via LDAP Active Directory

Tanggal: 2025-xx-xx Status: Accepted


Konteks

Perlu menentukan mekanisme autentikasi untuk geonet-console. Sudah ada Active Directory di 10.100.1.40 (domain gisportal.id) yang mengelola semua user dan laptop IT.

Keputusan

Autentikasi melalui LDAP bind ke Active Directory. Tidak ada user lokal di geonet-console. Setelah berhasil bind, server mengeluarkan JWT untuk sesi selanjutnya.

Alasan

  • Semua user IT sudah ada di AD — tidak perlu manage user terpisah
  • Single source of truth untuk identity
  • Group AD (Domain Admins, IT-Admin, dll.) dipakai untuk RBAC
  • Tidak perlu forgot password / registration flow (AD yang kelola)

Alternatif Ditolak

  • Local user DB: Perlu manage password terpisah, duplikasi identity
  • OAuth2 external (Google, dll.): Tidak cocok untuk internal IT tool
  • Kerberos SSO: Kompleksitas tinggi untuk tim kecil

Konsekuensi

  • LDAP_BIND_PASSWORD wajib diisi di .env server
  • Jika AD 10.100.1.40 down → login tidak bisa (unavoidable tradeoff)
  • JWT refresh tersedia agar user tidak perlu login ulang terlalu sering
  • Admin group: Domain Admins, Administrators, Enterprise Admins