Onena, otro post que será cortito con idea de usar recomendaciones y mejores prácticas; hoy toca recordar que no debemos usar usuarios locales, y así que le metemos mano a Grafana, y forzaremos los inicios de sesión de un almacén central como pueda ser nuestro Directorio Activo o cualquier LDAP.

Pues lo dicho, antolamendu bakoitzean ditugun zerbitzuetan erabiltzaile lokalak erabiltzen saiatzea komeni da, arrazoi askorengatik, errazago da erabiltzaile-zentral bat kudeatzea N banatuek baino, non Jainkoak bakarrik daki azken aldiz pasahitza aldatu zuten, konplexutasun-politikak… Eta nola ez, baimenak delegatzeko, hobe da baimena behar duenari sartzea ematea soilik non eman behar zaion, ezta?? ez den denari ematea… Eta horretarako funtsezkoa da babes handia izatea (kasu honetan) Active Directory bat erabiltzea.

Venga, oso erraza da! Empezamos! Lehenengo Grafanari LDAP erabili nahi dugula adieraziko diogu, beraz Grafanaren konfigurazio-fitxategian '/etc/grafana/grafana.ini',’ aktibatzen dugu:

[auth.ldap]
enabled = true
config_file = /etc/grafana/ldap.toml
allow_sign_up = false

Eta orain bai, LDAP konfigurazio-fitxategia konfiguratzeko garaia da, Beharrezkoa izango da beti bezala domeinu-kontroladore baten FQDN adieraztea, Ideala beti domeinuaren izena erabiltzea da, Horrela, zenbat DC izan ere kontuan hartu gabe, DNS-ak sarrera orekatuko du; edo etorkizunean LDAP makinek migrazioa egiten badute, ez dugu hemen etorri eta ukitu beharrik izango. Portua adierazten dugu, LDAP erabiliko badugu 389 edo LDAPS 636 hobekien. Era berean, irakurketa-pribilegioak dituzten erabiltzaile zehatz bat adierazten dugu autentikazioak balidatzeko, eta gainera gehiago iragazi dezakegu, adibidez, zein OU-tik aurrera izango diren erabiltzaileak edo zein taldekoak izan behar duten sarbidea izan dezaten, eta lehenetsita ikuslearen rola izan dezaten:

servers
host = "FQDN_LDAP"
port = 636
use_ssl = true
start_tls = true
ssl_skip_verify = false
bind_dn = "cn=ldap_grafana,ou=OU2,ou=OU1,dc=dominio,dc=local"
bind_password = 'XXXXXXXXXXXXXXXXXXX'
search_filter = "(sAMAccountName=%s)"
search_base_dns = ["dc=dominio,dc=local"]
group_search_base_dns = ["cn=Usuarios Grafana,ou=OU2,ou=OU1,dc=dominio,dc=local"]
[servers.attributes]
name = "givenName"
surname = "sn"
username = "sAMAccountName"
member_of = "memberOf"
email =  "posta"
servers.group_mappings
group_dn = "cn=Usuarios Grafana,ou=OU2,ou=OU1,dc=dominio,dc=local"
org_role = "Viewer"

Y con esto y un bizcocho…. ¡lo tenemos! Reiniciamos Grafana y probamos a validarnos y a acceder con un usuario de Directorio Activo.

sudo systemctl restart grafana-server

Pues esto es todo por hoy 🙂 Mandaros un abrazo, zaindu zeure burua, cuidar de los vuestros, que os vaya muy bien!