Grafana: авторизация по Active Directory
Общая
В статье будет рассмотрен пример настройки авторизации через Active Directory
Активация функции доменной авторизации:
nano /usr/share/grafana/conf/defaults.ini
Разделе Auth LDAP заменяем на:
[auth.ldap]
enabled = true
config_file = /etc/grafana/ldap.toml
allow_sign_up = true
Настройка параметров сервера:
nano /etc/grafana/ldap.toml
Содержимое файла заменяем на:
[[servers]]
#Имя или адрес LDAP сервера. Каждый сервере указывается через пробел.
host = "domain.example1.com domain.example2.com"
#Порт 389 или 636 если используется SSL
port = 389
#Указать True если используется SSL
use_ssl = false
#Указать True если используется STARTTLS
start_tls = false
ssl_skip_verify = false
#Имя пользователя для просмотра домена. Пользователь, входящий в группу пользователей домена.
#В данной строке приведен пример пользователя с логином grafana_ldap созданный в подразделении grafana в корне домена example.com
bind_dn = "cn=grafana_ldap,OU=grafana,DC=example,DC=com"
#Пароль пользователя для просмотра домена. Если пароль содержит знаки # или ; то он указывается в тройных кавычках. Пример: """#password;"""
bind_password = "ПАРОЛЬ"
search_filter = "(sAMAccountName=%s)"
#Указывается ветка ограничения поиска. В данном примере поиск идет по всему домену example.com.
search_base_dns = ["DC=example,DC=com"]
member_of = "distinguishedName"
#
[servers.attributes]
name = "givenName"
surname = "sn"
username = "cn"
member_of = "memberOf"
email = "email"
#
# Сопоставление групп AD ролями в Grafana.
[[servers.group_mappings]]
#Данный пример указывает на группу grafana_users, созданная в подразделении grafana в корне домена example.com
#Заменить на свой путь.
group_dn = "cn=grafana_users,OU=grafana,DC=example,DC=com"
#Роль группы - может быть Admin, Editor, Viewer. Для каждой роли создается отдельный пункт [[servers.group_mappings]] используя разные группы домена.
org_role = "Viewer"
Перезапускаем сервер:
service grafana-server restart
- Просмотров: 12142