Aller au contenu

LDAP et Active Directory

Les connecteurs LDAP et Active Directory (AD) permettent d'externaliser la gestion des autorisations pour les connexions à SquashTM. La gestion des habilitations reste interne à SquashTM.

Configuration de LDAP et AD

Les plugins LDAP et AD supportent à la fois des configurations simple et multi-domaines. Des exemples de configurations standards se trouvent dans les fichiers suivants, présents dans le dossier config du plugin :

  • Simple domaine : squash.tm.cfg.properties ;
  • Multi-domaines : multi-ldap(ou ad).squash.tm.cfg.properties.

Suite à l'installation des fichiers .jar du plugin LDAP ou AD dans le répertoire plugins de SquashTM, il faut copier/coller cette configuration standard dans le fichier squash.tm.cfg.properties présent dans le dossier conf de SquashTM afin de la compléter.

Propriétés du connecteur LDAP

Le connecteur LDAP permet une configuration plus poussée à travers les propriétés suivantes :

  • authentication.ldap.server.url : l'URL de l'annuaire. Il peut être de type ldap:// ou ldaps:// dans le cas d'une connexion sécurisée ;
  • authentication.ldap.server.managerDn : identifiant qui a les droits pour parcourir l'annuaire lorsque celui-ci ne peut pas être parcouru en mode anonyme ;
  • authentication.ldap.server.managerPassword : mot de passe de l'utilisateur qui a les droits pour parcourir l'annuaire ;
  • authentication.ldap.user.searchBase : endroit où se trouvent les utilisateurs qui pourront se connecter à SquashTM ;
  • authentication.ldap.user.searchFilter : permet de chercher l'attribut de l'utilisateur qui sera son login dans SquashTM.

Utilisation du connecteur LDAP avec un annuaire AD

Il est possible d'utiliser le connecteur LDAP pour le connecter à un annuaire de type Active Directory et ainsi bénéficier de ses possibilités plus importantes de configuration. La configuration à renseigner est sensiblement la même, que l'annuaire soit de type AD ou LDAP.
La principale différence se situe au niveau de la propriété authentication.ldap.user.searchFilter :

  • pour un annuaire de type AD, il s'agit généralement de l'attribut samAccountName ou UserPrincipalName ;
  • pour un annuaire de type LDAP, il y a plus de possibilités, il peut s'agir de uid, id, uniqueMember ou autre.

Fonctionnement de la connexion

Pour se connecter à SquashTM, il faut au préalable créer au moins un utilisateur dans l'annuaire LDAP ou AD avec un login identique à celui de l'administrateur SquashTM, par défaut : admin. Cet utilisateur permet de se connecter au logiciel SquashTM avec un profil d'administrateur. L'administrateur pourra par la suite ajouter des habilitations aux autres utilisateurs.

Info

Un compte administrateur est créé lors de la première utilisation de SquashTM, le login est admin.

Pour que les autres utilisateurs puissent se connecter à SquashTM avec le connecteur LDAP ou AD, il est nécessaire de les ajouter dans l'annuaire :

  • si l'utilisateur est absent de l'annuaire LDAP ou AD, il ne peut pas se connecter à SquashTM. La connexion est impossible ;
  • si l'utilisateur est présent dans l'annuaire LDAP ou AD, il peut se connecter à SquashTM. Le mot de passe est géré par l'annuaire. Tandis que les habilitations pour les projets sont gérées dans SquashTM. Deux cas sont alors possibles :
    • l'utilisateur a déjà un compte utilisateur dans SquashTM : lors de sa connexion, il aura les habilitations correspondantes à son compte ;
    • l'utilisateur n'a pas de compte utilisateur dans SquashTM : lors de sa première connexion, un compte utilisateur est automatiquement créé dans SquashTM mais aucune habilitation ne lui est affectée. Par la suite, des habilitations peuvent lui être ajoutées par un administrateur dans SquashTM.

Focus

Lorsque l'authentification est déléguée à un annuaire, les mots de passe ne sont plus administrables dans SquashTM. Les options [Réinitialiser] le mot de passe (administrateur) et modifier le [Mot de passe local] (utilisateur) sont désactivées.

Authentification multi-sources

L'authentification multi-sources (annuaire + local) à SquashTM est possible.

Pour cela :

  • effectuer l'installation et la configuration du plugin LDAP ou AD ;
  • dans le fichier squash.tm.cfg.properties, compléter la propriété suivante en ajoutant internal comme source d'authentification : 
    authentication.provider=ldap,internal

Les utilisateurs pourront alors se connecter à l'outil avec des comptes présents dans l'annuaire, et des comptes locaux de SquashTM.

Autoconnect aux bugtrackers

Dans le cas précis où les identifiants de connexion à SquashTM et aux bugtrackers sont gérés par le même service d'annuaire, il est possible d'activer l'autoconnect aux bugtrackers dans SquashTM. Dans les Paramètres Systèmes accessibles depuis l'administration de SquashTM, il faut activer le bouton radio présent dans le bloc Authentification automatique au bugtracker à la connexion.

Autoconnect

Une fois l'option activée, l'autoconnect se déclenche à chaque connexion d'un utilisateur et tente l'identification sur les différents bugtrackers auxquels l'utilisateur est associé via les projets sur lesquels il est habilité. Les informations enregistrées dans l'espace Mon Compte seront alors ignorées.
Si cette option est désactivée, il n'y aura pas de tentative de connexion automatique au bugtracker, les identifiants renseignés dans Mon compte seront pris en compte

Désinstallation de LDAP et AD

Pour désinstaller les plugins LDAP et AD, il faut :

  1. Arrêter SquashTM ;
  2. Supprimer ou commenter avec un # les lignes de configuration spécifiques au plugins dans le fichier squash.tm.cfg.properties ;
  3. Retirer les fichiers .jar du plugin du dossier plugins de SquashTM.