Habilitant autenticació LDAP a Grafana

Print Friendly, PDF i correu electrònic

Bo, un altre post que serà cortit amb idea d'usar recomanacions i millors pràctiques; avui toca recordar que no hem de fer servir usuaris locals, i així que li fiquem mà a Grafana, i forçarem els inicis de sessió d'un magatzem central com pugui ser el nostre Directori Actiu o qualsevol LDAP.

Doncs el que s'ha dit, hem de tractar d'utilitzar usuaris locals en cada servei que tinguem a l'organització, per moltes raons, és millor gestionar un lloc central d'usuaris que N repartits, on Déu sap quan es va canviar la contrasenya l'última vegada, polítiques de complexitat… Y como no, per delegar permisos, serà millor donar accés a qui ho necessiti només on ho hagi de tenir, oi?? que no donar permisos a tot… I per això és fonamental recolzar-nos (en aquest cas) en un Directori Actiu.

Vingui, que és molt fàcil! Comencem! El primer serà indicar a Grafana que volem utilitzar LDAP, així que al fitxer de configuració de Grafana ‘/etc/grafana/grafana.ini’ l'habiliten:

[auth.ldap]
enabled = true
config_file = /etc/grafana/ldap.toml
allow_sign_up = false

Y ahora sí que toca configurar el fichero de configuración para LDAP, deberemos indicar como siempre el FQDN de algún controlador de dominio, lo ideal siempre es usar el nombre del dominio, així dará igual cuantos DCs tengamos que el DNS balanceará la entrada; o si migramos a futur las màquines LDAP no tengamos que acordarnos i venir aquí a tocar. Indicamos el puerto, si usaremos LDAP 389 o LDAPS 636 preferiblement. Así como un usuario específico con privilegios de lectura para validar las autenticaciones, i addicionalment podríem filtrar més, per exemple a partir de que OU estarán los usuaris o un grup al que deban pertenecer para poder acceder, y que tengan por defecto el rol de visor:

servers
host = "FQDN_LDAP"
port = 636
use_ssl = true
start_tls = true
ssl_skip_verify = false
bind_dn = "cn=ldap_grafana,ou=OU2,ou=OU1,dc=dominio,dc = local"
bind_password = 'XXXXXXXXXXXXXXXXXXX'
search_filter = "(sAMAccountName=%s)"
search_base_dns = ["dc = domini,dc = local"]
group_search_base_dns = ["cn=Usuarios Grafana,ou=OU2,ou=OU1,dc=dominio,dc = local"]
[servers.attributes]
name = "givenName"
surname = "sn"
username = "sAMAccountName"
member_of = "memberOf"
email =  "email"
servers.group_mappings
group_dn = "cn=Usuarios Grafana,ou=OU2,ou=OU1,dc=dominio,dc = local"
org_role = "Visualitzador"

Y con esto y un bizcocho…. ¡lo tenemos! Reiniciamos Grafana y probamos a validarnos y a acceder con un usuario de Directorio Activo.

sudo systemctl restart grafana-server

Pues esto es todo por hoy 🙂 Mandaros un abrazo, cuidar-vos, cuidar de los vuestros, que us vagi molt bé!

Posts recomanats

Desplegant Prometheus & Grafana
Llegir
Mètriques de Windows amb Prometheus i Grafana
Llegir
Mètriques de FortiGate amb Prometheus i Grafana
Llegir
Mètriques de Ping amb Prometheus i Grafana
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Un Podcast per a TI - Nous problemes al núvol?

30 de May de 2022

Habilitant HTTPS a Grafana

3 de June de 2022