Облачное хранилище
active directory аутентфикация в grafana

По умолчанию для входа в Grafana используются локальные учетные данные. Но вы можете использовать базу данных LDAP (Active Directory или freeipa) для аутентификации пользователей в Grafana.

Отредактируйте конфигурационный файл Grafana:

$ sudo nano /etc/grafana/grafana.ini

############################## Auth LDAP ###################
[auth.ldap]
enabled = true
config_file = /etc/grafana/ldap.toml
allow_sign_up = true

Затем отредактируйте файл с настройками LDAP подключения:

$ sudo nano /etc/grafana/ldap.toml

[[servers]]
host = "dc01.vmblog.ru dc02.vmblog.ru"
#учетные данные пользователя для доступа к LDAP каталогу 
bind_dn = "uid=svc_grafana,cn=users,cn=accounts,dc=vmblog,dc=ru"
bind_password = 'grafana_password1'
search_filter = "(sAMAccountName=%s)"
search_base_dns = ["dc=vmblog,dc=ru"]
[[servers.group_mappings]]
# Группа администраторов Grafana
group_dn = "cn=grafana_admins,cn=groups,cn=msk,dc=vmblog,dc=ru"
org_role = "Admin"
[[servers.group_mappings]]
# Группа редакторов Grafana
group_dn = "cn=grafana_rw,cn=groups,cn=msk,dc=vmblog,dc=ru"
org_role = "Editor"
[[servers.group_mappings]]
#Группа с правами просмотра объектов и данных Grafana
group_dn = "cn=grafana_ro,cn=groups,cn=msk,dc=vmblog,dc=ru"
org_role = "Viewer"

Создайте в AD группы grafana_admins, grafana_rw и grafana_ro. Добавьте в них пользователей в зависимости от роли.

Создайте также доменного пользователя svc_grafana (с минимальными правами, можно даже исключить его из группы Domain Users).

Для отладки AD аутентификации нужно включить ведение логов LDAP. Для этого в файле /etc/grafana/grafana.ini укажите фильтр для лога:

[log]
filters = ldap:debug

Перезапустите сервис Grafana:

$ sudo systemctl restart grafana-server

active directory аутентфикация в grafana

Попробуйте выполнить аутентификацию под доменным пользователем. Если нужно, проверьте лог:

$ tail -f /var/log/grafana/grafana.log