Abilitazione dell'autenticazione LDAP in Grafana

Compatibile con la stampa, PDF & Email

Bene, Un altro post che sarà breve con l'idea di utilizzare raccomandazioni e best practice; Oggi è il momento di ricordare che non dovremmo usare utenti locali, e così mettiamo le mani su Grafana, e forzare l'accesso da un archivio centrale come Active Directory o qualsiasi LDAP.

Beh, quello che ho detto, Dobbiamo provare a utilizzare gli utenti locali in ogni servizio che abbiamo nell'organizzazione, per molte ragioni, è meglio governare un sito centrale di utenti piuttosto che N sparsi, dove Dio sa quando la sua password è stata cambiata l'ultima volta, Criteri di complessità… E naturalmente, Per delegare le autorizzazioni, Sarà meglio dare accesso a coloro che ne hanno bisogno solo dove dovrebbero, giusto?? Non dare il permesso a tutto… E per questo è fondamentale sostenerci (In questo caso) in una directory attiva.

Venire, Cosa fa schifo! Avviato! La prima cosa sarà indicare a Grafana che vogliamo utilizzare LDAP, quindi nel file di configurazione di Grafana '/etc/grafana/grafana.ini’ Noi lo abilitiamo:

[auth.ldap]
abilitato = vero config_file = /etc/grafana/ldap.toml allow_sign_up = falso

E ora è il momento di configurare il file di configurazione per LDAP, dobbiamo indicare come sempre l'FQDN di un controller di dominio, Idealmente, dovresti sempre utilizzare il nome di dominio, quindi non importa quanti DC abbiamo che il DNS bilancerà l'input; o se migriamo le macchine LDAP in futuro non dobbiamo ricordarci e venire qui a giocare. Indichiamo il porto, se useremo LDAP 389 o LDAPS 636 preferibilmente. Oltre a un utente specifico con privilegi di lettura per convalidare le autenticazioni, e inoltre saremo in grado di filtrare di più, ad esempio, da quale unità organizzativa si troveranno gli utenti o un gruppo a cui devono appartenere per accedere, e che hanno il ruolo di visualizzatore per impostazione predefinita:

server host = "FQDN_LDAP"
porta = 636
use_ssl = vero start_tls = vero ssl_skip_verify = falso bind_dn = "cn=ldap_grafana,ou=OU2,ou=OU1,dc=dominio,dc=locale"
bind_password = 'XXXXXXXXXXXXXXXXXXX'
search_filter = "(sAMAccountName=%s)"
search_base_dns = ["dc=dominio,dc=locale"]
group_search_base_dns = ["cn=Utenti Grafana,ou=OU2,ou=OU1,dc=dominio,dc=locale"]
[server.attributi]
nome = "givenName"
Cognome = "Sn"
nome utente = "sAMAccountName"
member_of = "membroDi"
e-mail =  "E-mail"
servers.group_mappings group_dn = "cn=Utenti Grafana,ou=OU2,ou=OU1,dc=dominio,dc=locale"
org_role = "Spettatore"

E con questo e una torta…. ¡L'abbiamo preso! Riavviamo Grafana e proviamo a convalidarci e ad accedere con un utente di Active Directory.

sudo systemctl restart grafana-server

Bene, per oggi 🙂 è tutto Ti mando un abbraccio, Prendetevi cura di voi stessi, prenditi cura dei tuoi cari, Che vada molto bene per te!

Post consigliati

Distribuzione di Prometheus & Grafana
Leggere
Metriche di Windows con Prometheus e Grafana
Leggere
Metriche FortiGate con Prometheus e Grafana
Leggere
Metriche ping con Prometheus e Grafana
Leggere

Autore

presso Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Non esitate a contattarmi, Cercherò di aiutarti ogni volta che potrò, Condividere è vivere ;) . Goditi i documenti!!!

Un podcast per l'IT - Nuovi problemi nel cloud?

30 di maggio de 2022

Abilitazione di HTTPS in Grafana

3 Giugno de 2022