井, 另一篇简短的文章，介绍了使用建议和最佳实践的想法; 今天是时候记住我们不应该使用本地用户了, 因此，我们得到了 Grafana, 并强制从中央存储（例如我们的 Active Directory 或任何 LDAP）登录.

嗯，我说的是, 我们必须尝试在组织中的每项服务中使用本地用户, 原因有很多, 管理用户的中心站点比管理 N 个分散的站点要好, 上帝在哪里知道他上次更改密码是什么时候, 复杂性策略… 当然, 委派权限, 最好只让那些需要它的人去他们应该去的地方，对吧？? 不授予所有权限… 为此，支持我们是必不可少的 (在这种情况下) 在 Active Directory 中.

来, 什么是吸人! 开始! 第一件事是向 Grafana 表明我们要使用 LDAP, 所以在 Grafana 配置文件 '/etc/grafana/grafana.ini’ 我们支持:

[auth.ldap 文件]
enabled = true config_file = /etc/grafana/ldap.toml allow_sign_up = false

现在是时候为 LDAP 配置配置文件了, 我们必须始终指示域控制器的 FQDN, 理想情况下，您应该始终使用域名, 因此，无论我们拥有多少个 DC，DNS 都会平衡输入; 或者，如果我们将来迁移 LDAP 机器，我们不必记住并来这里玩. 我们指示端口, 我们是否使用 LDAP 389 o LDAPS 636 宁愿. 以及具有读取权限的特定用户来验证身份验证, 此外，我们将能够过滤更多, 例如，用户将来自哪个 OU 或他们必须属于哪个组才能访问, ，并且默认情况下具有 Viewer（查看者）角色:

主机服务器 = "FQDN_LDAP"
端口 = 636
use_ssl = 真 start_tls = 真 ssl_skip_verify = 假 bind_dn = "cn=ldap_grafana,ou=OU2，ou=OU1，dc=域,dc=本地"
bind_password = 'XXXXXXXXXXXXXXXXXXX'
search_filter = "(sAMAccount名称=%s)"
search_base_dns = ["dc=域,dc=本地"]
group_search_base_dns = ["cn=Grafana 用户,ou=OU2，ou=OU1，dc=域,dc=本地"]
[服务器.attributes]
名称 = "givenName （给定名称）"
姓氏 = "锡"
用户名 = "sAMAccount名称"
member_of = "成员"
电子邮件 =  "电子邮件"
servers.group_mappings group_dn = "cn=Grafana 用户,ou=OU2，ou=OU1，dc=域,dc=本地"
org_role = "观众"

有了这个和一个蛋糕…. 我们抓住了他! 我们重新启动 Grafana 并尝试验证自身并使用 Active Directory 用户登录.

sudo systemctl restart grafana-server

好了，今天就到这里🙂了 给你一个拥抱, 照顾好自己, 照顾您的亲人, 愿你一切顺利!