LDAP et Active Directory
Les connecteurs LDAP et Active Directory (AD) permettent d’externaliser la gestion des autorisations pour les connexions à Squash. La gestion des habilitations reste interne à Squash.
Configuration de LDAP et AD
Les plugins LDAP et AD supportent à la fois des configurations simple et multi-domaines. Des exemples de configurations standards se trouvent dans les fichiers suivants, présents dans le dossier 'config' du plugin :
- Simple domaine : squash.tm.cfg.properties
- Multi-domaines : multi-ldap(ou ad).squash.tm.cfg.properties
Suite à l'installation des fichiers .jar du plugin LDAP ou AD dans le répertoire 'plugins' de Squash TM, il faut copier/coller cette configuration standard dans le fichier squash.tm.cfg.properties présent dans le dossier 'conf' de Squash TM afin de la compléter.
Propriétés du connecteur LDAP
Le connecteur LDAP permet une configuration plus poussée à travers les propriétés suivantes :
- authentication.ldap.server.url : l’URL de l’annuaire. Il peut être de type ldap:// ou ldaps:// dans le cas d’une connexion sécurisée.
- authentication.ldap.server.managerDn : identifiant qui a les droits pour parcourir l’annuaire lorsque celui-ci ne peut pas être parcouru en mode anonyme
- authentication.ldap.server.managerPassword : mot de passe de l'utilisateur qui a les droits pour parcourir l’annuaire
- authentication.ldap.user.searchBase : endroit où se trouvent les utilisateurs qui pourront se connecter à Squash
- authentication.ldap.user.searchFilter : permet de chercher l'attribut de l’utilisateur qui sera son login dans Squash
Utilisation du connecteur LDAP avec un annuaire AD
Il est possible d’utiliser le connecteur LDAP pour le connecter à un annuaire de type Active Directory et ainsi bénéficier de ses possibilités plus importantes de configuration.
La configuration à renseigner est sensiblement la même, que l’annuaire soit de type AD ou LDAP.
La principale différence se situe au niveau de la propriété authentication.ldap.user.searchFilter :
- Pour un annuaire de type AD, il s’agit généralement de l’attribut samAccountName ou UserPrincipalName
- Pour un annuaire de type LDAP, il y a plus de possibilités, il peut s’agir de uid, id, uniqueMember ou autre
Fonctionnement de la connexion
Pour se connecter à Squash TM, il faut au préalable créer au moins un utilisateur dans l’annuaire LDAP ou AD avec un login identique à celui de l’administrateur Squash, par défaut : « admin ». Cet utilisateur permet de se connecter au logiciel Squash TM avec un profil d’administrateur. L’administrateur pourra par la suite ajouter des habilitations aux autres utilisateurs.
Info
Un compte administrateur est créé lors de la première utilisation de Squash, le login est « admin ».
Pour que les autres utilisateurs puissent se connecter à Squash TM avec le connecteur LDAP ou AD, il est nécessaire de les ajouter dans l’annuaire :
- Si l’utilisateur est absent de l’annuaire LDAP ou AD, il ne peut pas se connecter à Squash TM. La connexion est impossible.
- Si l’utilisateur est présent dans l’annuaire LDAP ou AD, il peut se connecter à Squash TM. Le mot de passe est géré par l’annuaire. Tandis que les habilitations pour les projets sont gérées dans Squash. Deux cas sont alors possibles :
- L’utilisateur a déjà un compte utilisateur dans Squash TM : lors de sa connexion, il aura les habilitations correspondantes à son compte.
- L’utilisateur n’a pas de compte utilisateur dans Squash TM : lors de sa première connexion, un compte utilisateur est automatiquement créé dans Squash TM mais aucune habilitation ne lui est affectée. Par la suite, des habilitations peuvent lui être ajoutées par un administrateur dans Squash TM.
Focus
Lorsque l’authentification est déléguée à un annuaire, les mots de passe ne sont plus administrables dans Squash TM. Les options [Réinitialiser] le mot de passe (administrateur) et modifier le [Mot de passe local] (utilisateur) sont désactivées.
Authentification multi-sources
L’authentification multi-sources (annuaire + local) à Squash TM est possible.
Pour cela :
- Effectuer l’installation et la configuration du plugin LDAP ou AD
- Dans le fichier 'squash.tm.cfg.properties', compléter la propriété suivante en ajoutant 'internal' comme source d’authentification :
authentication.provider=ldap,internal
Les utilisateurs pourront alors se connecter à l'outil avec des comptes présents dans l’annuaire, et des comptes locaux de Squash TM.
Autoconnect aux bugtrackers
Dans le cas précis où les identifiants de connexion à Squash TM et aux bugtrackers sont gérés par le même service d’annuaire, il est possible d’activer l’autoconnect aux bugtrackers dans Squash TM. Dans les 'Paramètres Systèmes' accessibles depuis l’administration de Squash TM, il faut activer le bouton radio présent dans le bloc 'Authentification automatique au bugtracker à la connexion'.
Une fois l’option activée, l'autoconnect se déclenche à chaque connexion d’un utilisateur et tente l'identification sur les différents bugtrackers auxquels l'utilisateur est associé via les projets sur lesquels il est habilité. Les informations enregistrées dans l’espace "Mon Compte" seront alors ignorées. Si cette option est désactivée, il n'y aura pas de tentative de connexion automatique au bugtracker, les identifiants renseignés dans "Mon compte" seront pris en compte
Désinstallation de LDAP et AD
Pour désinstaller les plugins LDAP et AD, il faut :
- Arrêter Squash TM
- Supprimer ou commenter avec un # les lignes de configuration spécifiques au plugins dans le fichier 'squash.tm.cfg.properties'
- Retirer les fichiers .jar du plugin du dossier 'plugins' de Squash TM