Инструкция по настройке LDAP-аутентификации в Grafana

Краткое описание

В статье описывается настройка LDAP-аутентификации в Grafana, где поставщиком учетных записей является MULTIDIRECTORY.

Требования для настройки

• Установленная служба каталогов MULTIDIRECTORY.
• Предустановленный Grafana.

Подготовка к настройке

• Создайте сервисную учетную запись в MULTIDIRECTORY, у которой будут права на чтение каталога.
• Создайте группы доступа в MULTIDIRECTORY для пользователей Grafana.

Конфигурация Grafana для работы с MULTIDIRECTORY

Для настройки LDAP-аутентефикации на сервере, где расположена Grafana отредактируйте /etc/grafana/ldap.toml и /etc/grafana/grafana.ini.

Если Grafana развернута в docker контейнере , конфигурация меняется внутри контейнера

docker exec -it (container) bash   # Заменить (container) на имя контейнера без скобок.

container:/usr/share/grafana/conf# -> defaults.ini и ldap.toml в том же месте

Пример конфигурации /etc/grafana/ldap.toml:

[[servers]]
host = "your_domain.ru"
port = 389                                          # для использования LDAPS порт 636
use_ssl = false                                     # для использования LDAPS true
start_tls = false
ssl_skip_verify = false
bind_dn = "cn=admin,ou=users,dc=your_domain,dc=ru"  #сервисная учетная запись
bind_password = 'admin_password'
search_filter = "(sAMAccountName=%s)"
search_base_dns = ["dc=your_domain,dc=ru"]          # база поиска

Пример конфигурации /etc/grafana/grafana.ini

[server]
# Protocol (http, https, h2, socket)
protocol = https                                    # для LDAPS
[auth.ldap]
enabled = true
config_file = /etc/grafana/ldap.toml
allow_sign_up = true

После внесения изменений в конфигурационный файлы, необходимо перезапустить сервис Grafana.

sudo systemctl restart grafana-server