Aller au contenu

LDAP et Active Directory

Les connecteurs LDAP et Active Directory (AD) permettent d’externaliser la gestion des autorisations pour les connexions à Squash. La gestion des habilitations reste interne à Squash.

Configuration de LDAP et AD

Les plugins LDAP et AD supportent à la fois des configurations simple et multi-domaines. Des exemples de configurations standards se trouvent dans les fichiers suivants, présents dans le dossier 'config' du plugin :

  • Simple domaine : squash.tm.cfg.properties
  • Multi-domaines : multi-ldap(ou ad).squash.tm.cfg.properties

Suite à l'installation des fichiers .jar du plugin LDAP ou AD dans le répertoire 'plugins' de Squash TM, il faut copier/coller cette configuration standard dans le fichier squash.tm.cfg.properties présent dans le dossier 'conf' de Squash TM afin de la compléter.

Propriétés du connecteur LDAP

Le connecteur LDAP permet une configuration plus poussée à travers les propriétés suivantes :

  • authentication.ldap.server.url : l’URL de l’annuaire. Il peut être de type ldap:// ou ldaps:// dans le cas d’une connexion sécurisée.
  • authentication.ldap.server.managerDn : identifiant qui a les droits pour parcourir l’annuaire lorsque celui-ci ne peut pas être parcouru en mode anonyme
  • authentication.ldap.server.managerPassword : mot de passe de l'utilisateur qui a les droits pour parcourir l’annuaire
  • authentication.ldap.user.searchBase : endroit où se trouvent les utilisateurs qui pourront se connecter à Squash
  • authentication.ldap.user.searchFilter : permet de chercher l'attribut de l’utilisateur qui sera son login dans Squash

Utilisation du connecteur LDAP avec un annuaire AD

Il est possible d’utiliser le connecteur LDAP pour le connecter à un annuaire de type Active Directory et ainsi bénéficier de ses possibilités plus importantes de configuration. La configuration à renseigner est sensiblement la même, que l’annuaire soit de type AD ou LDAP.
La principale différence se situe au niveau de la propriété authentication.ldap.user.searchFilter :

  • Pour un annuaire de type AD, il s’agit généralement de l’attribut samAccountName ou UserPrincipalName
  • Pour un annuaire de type LDAP, il y a plus de possibilités, il peut s’agir de uid, id, uniqueMember ou autre

Fonctionnement de la connexion

Pour se connecter à Squash TM, il faut au préalable créer au moins un utilisateur dans l’annuaire LDAP ou AD avec un login identique à celui de l’administrateur Squash, par défaut : « admin ». Cet utilisateur permet de se connecter au logiciel Squash TM avec un profil d’administrateur. L’administrateur pourra par la suite ajouter des habilitations aux autres utilisateurs.

Info

Un compte administrateur est créé lors de la première utilisation de Squash, le login est « admin ».

Pour que les autres utilisateurs puissent se connecter à Squash TM avec le connecteur LDAP ou AD, il est nécessaire de les ajouter dans l’annuaire :

  • Si l’utilisateur est absent de l’annuaire LDAP ou AD, il ne peut pas se connecter à Squash TM. La connexion est impossible.
  • Si l’utilisateur est présent dans l’annuaire LDAP ou AD, il peut se connecter à Squash TM. Le mot de passe est géré par l’annuaire. Tandis que les habilitations pour les projets sont gérées dans Squash. Deux cas sont alors possibles :
    • L’utilisateur a déjà un compte utilisateur dans Squash TM : lors de sa connexion, il aura les habilitations correspondantes à son compte.
    • L’utilisateur n’a pas de compte utilisateur dans Squash TM : lors de sa première connexion, un compte utilisateur est automatiquement créé dans Squash TM mais aucune habilitation ne lui est affectée. Par la suite, des habilitations peuvent lui être ajoutées par un administrateur dans Squash TM.

Focus

Lorsque l’authentification est déléguée à un annuaire, les mots de passe ne sont plus administrables dans Squash TM. Les options [Réinitialiser] le mot de passe (administrateur) et modifier le [Mot de passe local] (utilisateur) sont désactivées.

Authentification multi-sources

L’authentification multi-sources (annuaire + local) à Squash TM est possible.

Pour cela :

  • Effectuer l’installation et la configuration du plugin LDAP ou AD
  • Dans le fichier 'squash.tm.cfg.properties', compléter la propriété suivante en ajoutant 'internal' comme source d’authentification : 
    authentication.provider=ldap,internal

Les utilisateurs pourront alors se connecter à l'outil avec des comptes présents dans l’annuaire, et des comptes locaux de Squash TM.

Autoconnect aux bugtrackers

Dans le cas précis où les identifiants de connexion à Squash TM et aux bugtrackers sont gérés par le même service d’annuaire, il est possible d’activer l’autoconnect aux bugtrackers dans Squash TM. Dans les 'Paramètres Systèmes' accessibles depuis l’administration de Squash TM, il faut activer le bouton radio présent dans le bloc 'Authentification automatique au bugtracker à la connexion'.

Autoconnect

Une fois l’option activée, l'autoconnect se déclenche à chaque connexion d’un utilisateur et tente l'identification sur les différents bugtrackers auxquels l'utilisateur est associé via les projets sur lesquels il est habilité. Les informations enregistrées dans l’espace "Mon Compte" seront alors ignorées. Si cette option est désactivée, il n'y aura pas de tentative de connexion automatique au bugtracker, les identifiants renseignés dans "Mon compte" seront pris en compte

Désinstallation de LDAP et AD

Pour désinstaller les plugins LDAP et AD, il faut :

  1. Arrêter Squash TM
  2. Supprimer ou commenter avec un # les lignes de configuration spécifiques au plugins dans le fichier 'squash.tm.cfg.properties'
  3. Retirer les fichiers .jar du plugin du dossier 'plugins' de Squash TM