По умолчанию для входа в Grafana используются локальные учетные данные. Но вы можете использовать базу данных LDAP (Active Directory или freeipa) для аутентификации пользователей в Grafana.
Отредактируйте конфигурационный файл Grafana:
$ sudo nano /etc/grafana/grafana.ini
############################## Auth LDAP ################### [auth.ldap] enabled = true config_file = /etc/grafana/ldap.toml allow_sign_up = true
Затем отредактируйте файл с настройками LDAP подключения:
$ sudo nano /etc/grafana/ldap.toml
[[servers]]
host = "dc01.vmblog.ru dc02.vmblog.ru"
#учетные данные пользователя для доступа к LDAP каталогу
bind_dn = "uid=svc_grafana,cn=users,cn=accounts,dc=vmblog,dc=ru"
bind_password = 'grafana_password1'
search_filter = "(sAMAccountName=%s)"
search_base_dns = ["dc=vmblog,dc=ru"]
[[servers.group_mappings]]
# Группа администраторов Grafana
group_dn = "cn=grafana_admins,cn=groups,cn=msk,dc=vmblog,dc=ru"
org_role = "Admin"
[[servers.group_mappings]]
# Группа редакторов Grafana
group_dn = "cn=grafana_rw,cn=groups,cn=msk,dc=vmblog,dc=ru"
org_role = "Editor"
[[servers.group_mappings]]
#Группа с правами просмотра объектов и данных Grafana
group_dn = "cn=grafana_ro,cn=groups,cn=msk,dc=vmblog,dc=ru"
org_role = "Viewer"Создайте в AD группы grafana_admins, grafana_rw и grafana_ro. Добавьте в них пользователей в зависимости от роли.
Создайте также доменного пользователя svc_grafana (с минимальными правами, можно даже исключить его из группы Domain Users).
Для отладки AD аутентификации нужно включить ведение логов LDAP. Для этого в файле /etc/grafana/grafana.ini укажите фильтр для лога:
[log] filters = ldap:debug
Перезапустите сервис Grafana:
$ sudo systemctl restart grafana-server
Попробуйте выполнить аутентификацию под доменным пользователем. Если нужно, проверьте лог:
$ tail -f /var/log/grafana/grafana.log
