Habilitando a autenticação LDAP no Grafana

Impressão amigável, PDF & Email

Poço, Mais um post que será curto com a ideia de usar recomendações e boas práticas; Hoje é hora de lembrar que não devemos usar usuários locais, e assim colocamos as mãos no Grafana, e forçar logins de um armazenamento central, como nosso Active Directory ou qualquer LDAP.

Bem, o que eu disse, Devemos tentar usar usuários locais em cada serviço que temos na organização, por muitas razões, é melhor governar um site central de usuários do que N espalhado, onde Deus sabe quando sua senha foi alterada da última vez, Políticas de Complexidade… E, claro,, Para delegar permissões, Será melhor dar acesso a quem precisa apenas para onde deveriam, certo?? Não dar permissão a tudo… E para isso é fundamental nos apoiar (Neste caso) em um Active Directory.

Vir, O que é uma! Começou! A primeira coisa será indicar ao Grafana que queremos usar o LDAP, portanto, no arquivo de configuração do Grafana '/etc/grafana/grafana.ini’ Nós o habilitamos:

[auth.ldap]
enabled = true config_file = /etc/grafana/ldap.toml allow_sign_up = false

E agora é hora de configurar o arquivo de configuração para LDAP, devemos indicar como sempre o FQDN de um controlador de domínio, Idealmente, você deve sempre usar o nome de domínio, portanto, não importa quantos DCs tenhamos, o DNS equilibrará a entrada; ou se migrarmos máquinas LDAP no futuro, não precisamos lembrar e vir aqui para jogar. Indicamos a porta, se usaremos LDAP 389 o LDAPS 636 preferivelmente. Bem como um usuário específico com privilégios de leitura para validar autenticações, e, além disso, poderemos filtrar mais, por exemplo, de qual UO os usuários serão ou um grupo ao qual eles devem pertencer para acessar, e que têm a função de visualizador por padrão:

servidores host = "FQDN_LDAP"
porta = 636
use_ssl = verdadeiro start_tls = verdadeiro ssl_skip_verify = falso bind_dn = "cn=ldap_grafana,ou=OU2,ou=OU1,dc=domínio,dc=local"
bind_password = 'XXXXXXXXXXXXXXXXXXX'
search_filter = "(sAMAccountName=%s)"
search_base_dns = ["dc=domínio,dc=local"]
group_search_base_dns = ["cn=Usuários do Grafana,ou=OU2,ou=OU1,dc=domínio,dc=local"]
[servidores.atributos]
nome = "givenName"
Sobrenome = "Sn"
nome de usuário = "Nome do sAMAccountName"
member_of = "membroDe"
e-mail =  "Email"
servers.group_mappings group_dn = "cn=Usuários do Grafana,ou=OU2,ou=OU1,dc=domínio,dc=local"
org_role = "Visualizador"

E com isso e um bolo…. ¡Nós o pegamos! Reiniciamos o Grafana e tentamos nos validar e fazer login com um usuário do Active Directory.

sudo systemctl restart grafana-server

Bem, isso é tudo por hoje 🙂 Enviar-lhe um abraço, Cuidem-se, Cuide de seus entes queridos, Que tudo corra muito bem para você!

Postagens recomendadas

Métricas de ping com Prometheus e Grafana
Ler
Métricas do Windows com Prometheus e Grafana
Ler
Implantando o Prometheus & Grafana
Ler
Métricas FortiGate com Prometheus e Grafana
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Um podcast para TI - Novos problemas na nuvem?

30 de Maio de 2022

Habilitando HTTPS no Grafana

3 Junho de 2022