配置Grafana启动LDAP认证

2017-07-15 阅读: Grafana

使用Grafana作为团队监控系统的图表组件,为了安全还需配置使用团队基于OpenLDAP的统一用户认证。 Grafana从2.1开始支持LDAP集成,但是在参考官方文档Grafana LDAP Authentication进行配置时遇到了一些问题,这里做一个简单的记录,便于后边查看。

在grafana的主配置文件grafana.ini中开启LDAP认证:

[auth.ldap]
enabled = true
config_file = /etc/grafana/ldap.toml
  • config_file指定grafana的ldap配置文件ldap.toml的具体位置

ldap.toml配置文件的内容如下:

[[servers]]
host = "127.0.0.1"
port = 389
use_ssl = false
start_tls = false
ssl_skip_verify = false

bind_dn = "cn=Manager,dc=frognew,dc=com"
bind_password = 'thepassword'
search_filter = "(cn=%s)"
search_base_dns = ["ou=People,dc=frognew,dc=com"]
group_search_base_dns = ["ou=Group,dc=frognew,dc=com"]
group_search_filter = "(&(objectClass=posixGroup)(memberUid=%s))"

[servers.attributes]
name = "givenName"
surname = "sn"
username = "cn"
member_of = "cn"
email =  "email"


[[servers.group_mappings]]
group_dn = "grafana-admin"
org_role = "Admin"

[[servers.group_mappings]]
group_dn = "grafana-editor"
org_role = "Editor"

[[servers.group_mappings]]

group_dn = "grafana-viewer"
org_role = "Viewer"
  • hostport指定LDAP Server的地址和端口
  • 因为我们使用的OpenLDAP,是没有memberOf属性的POSIX schema,所以获取用户的Group信息时需要另外一个查询,通过group_search_base_dnsgroup_search_filter,同事需要设置member_of = "cn"
  • servers.group_mappings中指定LDAP中Group和Grafan中org_role的对应关系,注意这里需要和配置成LDAP中Group的cn,这里配置的是grafana-admingrafana-editorgrafana-viewer,这点和官方文档Grafana LDAP Authentication中给的例子是不一样的。

参考

标题:配置Grafana启动LDAP认证
本文链接:https://blog.frognew.com/2017/07/config-grafana-with-ldap.html
转载请注明出处。

目录