Aktivieren der LDAP-Authentifizierung in Grafana

Druckfreundlich, PDF & Email

Brunnen, Ein weiterer Beitrag, der kurz sein wird mit der Idee, Empfehlungen und Best Practices zu verwenden; Heute ist es an der Zeit, sich daran zu erinnern, dass wir keine lokalen Benutzer verwenden sollten, und so bekommen wir Grafana in die Finger, und erzwingen Sie Anmeldungen von einem zentralen Speicher wie unserem Active Directory oder einem beliebigen LDAP.

Nun, was ich gesagt habe, Wir müssen versuchen, lokale Benutzer in jedem Dienst zu verwenden, den wir in der Organisation haben, aus vielen Gründen, Es ist besser, eine zentrale Website von Benutzern zu verwalten, als N zu verteilen, woher weiß Gott, wann sein Passwort das letzte Mal geändert wurde?, Komplexitäts-Richtlinien… Und natürlich, So delegieren Sie Berechtigungen, Es wäre besser, denjenigen, die ihn benötigen, nur dort Zugang zu gewähren, wo sie es sollten, oder?? Nicht alles zu erlauben… Und dafür ist es unerlässlich, uns zu unterstützen (In diesem Fall) in einem Active Directory.

Kommen, Was ist! Gestartet! Das erste, was wir tun müssen, ist, Grafana mitzuteilen, dass wir LDAP verwenden möchten, also in der Grafana-Konfigurationsdatei '/etc/grafana/grafana.ini’ Wir ermöglichen es:

[auth.ldap]
enabled = true config_file = /etc/grafana/ldap.toml allow_sign_up = false

Und jetzt ist es an der Zeit, die Konfigurationsdatei für LDAP zu konfigurieren, Wir müssen wie immer den FQDN eines Domänencontrollers angeben, Im Idealfall verwenden Sie immer den Domainnamen, Es spielt also keine Rolle, wie viele DCs wir haben, dass das DNS die Eingabe ausgleicht; oder wenn wir in Zukunft LDAP-Maschinen migrieren, müssen wir uns nicht daran erinnern und kommen hierher, um zu spielen. Wir geben den Hafen an, ob wir LDAP verwenden werden 389 o LDAPS 636 vorzugsweise. Sowie ein bestimmter Benutzer mit Leserechten zur Validierung von Authentifizierungen, Und zusätzlich werden wir in der Lage sein, mehr zu filtern, z. B. aus welcher Organisationseinheit die Benutzer stammen oder zu welcher Gruppe sie gehören müssen, um darauf zugreifen zu können, und die standardmäßig über die Rolle "Betrachter" verfügen:

Host-Server = "FQDN_LDAP"
Anschluss = 636
use_ssl = wahr start_tls = wahr ssl_skip_verify = falsch bind_dn = "cn=ldap_grafana,ou=OU2,ou=OU1,dc=Domäne,dc=lokal"
bind_password = 'XXXXXXXXXXXXXXXXXXX'
search_filter = "(sAMAccountName=%s)"
search_base_dns = ["dc=Domäne,dc=lokal"]
group_search_base_dns = ["cn=Grafana-Benutzer,ou=OU2,ou=OU1,dc=Domäne,dc=lokal"]
[server.attribute]
Bezeichnung = "givenName"
Nachname = "Sn"
Benutzername = "sAMAccountName"
member_of = "memberOf"
E-Mail =  "E-Mail"
servers.group_mappings group_dn = "cn=Grafana-Benutzer,ou=OU2,ou=OU1,dc=Domäne,dc=lokal"
org_role = "Betrachter"

Und dazu und ein Kuchen…. Wir haben ihn! Wir starten Grafana neu und versuchen, uns zu validieren und melden uns mit einem Active Directory-Benutzer an..

sudo systemctl restart grafana-server

Nun, das war's für heute 🙂 Schick dir eine Umarmung, Passt auf euch auf, Kümmere dich um deine Lieben, Möge es Ihnen sehr gut gehen!

Empfohlene Beiträge

Überwachen des Zugriffs auf Wechseldatenträger
Lesen
VPN mit Citrix NetScaler III - Authentifizierung mit Zertifikaten
Lesen
Implementierung von FSSOs zur Integration von Fortigate in Active Directory
Lesen
Implementieren von Windows LAPS
Lesen

Verfasser

bis Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Zögern Sie nicht, mich zu kontaktieren, Ich werde versuchen, dir zu helfen, wann immer ich kann, Teilen ist Leben ;) . Genießen Sie Dokumente!!!

Ein Podcast für die IT - Neue Probleme in der Cloud?

30 vom Mai de 2022

Aktivieren von HTTPS in Grafana

3 Juni de 2022