ldap配置系列三:grafana集成ldap

Posted zhaojiedi1992

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ldap配置系列三:grafana集成ldap相关的知识,希望对你有一定的参考价值。

ldap配置系列三:grafana集成ldap

grafana的简介

 grafana是一个类似kibana的东西,是对来自各种数据源的数据进行实时展示的平台,拥有这牛逼的外观。给一个官方的demo体验地址: https://play.grafana.org/d/000000012/grafana-play-home?orgId=1

grafana的安装

grfana安装的官方参考: http://docs.grafana.org/installation/rpm/

[[email protected]_0_15_centos ~]# sudo yum install https://s3-us-west-2.amazonaws.com/grafana-releases/release/grafana-5.1.4-1.x86_64.rpm
[[email protected]_0_15_centos ~]# rpm -ql grafana |grep /etc
/etc/grafana
/etc/init.d/grafana-server
/etc/sysconfig/grafana-server

[[email protected]_0_15_centos ~]# systemctl start grafana-server
[[email protected]_0_15_centos ~]# systemctl status grafana-server

[[email protected]_0_15_centos ~]# firewall-cmd --permanent  --add-port=3000/tcp
success
[[email protected]_0_15_centos ~]# firewall-cmd --reload 
success

# 添加域名grafana.linuxpanda.tech 
# web访问下grafana.linuxpanda.tech:3000 

主界面如下: 

技术分享图片

 

默认的用户名和密码都是admin。

ldap用户组和用户创建

如果没有ldap服务,可以参考: https://www.cnblogs.com/zhaojiedi1992/p/zhaojiedi_liunx_52_ldap.html

技术分享图片

这里我们使用 ldapadmin.exe 这个小软件连接到ldap服务, 在group这个ou里面添加一个grafana的ou,然后在grafana这个ou里面添加3个组, 对应管理,编辑和预览。

创建三个用户test01,test02,test03 ,设置密码为oracle, 让其分别属于三个不同的组,方便后续的测试。

ldap配置文件

grafana的ldap配置官方参考: http://docs.grafana.org/installation/ldap/

grafana.ini配置

[[email protected]_0_15_centos ~]# cd /etc/grafana/
[[email protected]_0_15_centos grafana]# ll
total 24
-rw-r----- 1 root grafana 13655 Sep  5 21:39 grafana.ini
-rw-r----- 1 root grafana  3468 Sep  5 21:39 ldap.toml
drwxr-xr-x 4 root grafana  4096 Sep  5 21:39 provisioning
[[email protected]_0_15_centos grafana]# cp ldap.toml  ldap.toml.default 
[[email protected]_0_15_centos grafana]# cp grafana.ini grafana.ini.default
[[email protected]_0_15_centos grafana]# chown grafana.grafana grafana.ini ldap.toml  [[email protected]_0_15_centos grafana]# vim grafana.ini # 这个文件修改2项,log的其实没有必要,但是ldap调试比较麻烦,建议先开启debug,等配置好ldap后,在修改回去info级别。 [auth.ldap] enabled
= true [log] level = debug

配置前需要先做几个查询

查询所有用户

[[email protected]_0_15_centos ~]# ldapsearch  -LLL -w oracle   -x -H ldap://ldap.linuxpanda.tech -D"cn=admin,dc=linuxpanda,dc=tech" -b "ou=people,dc=linuxpanda,dc=tech" 
dn: ou=people,dc=linuxpanda,dc=tech
objectClass: organizationalUnit
ou: user
ou: people

dn: uid=test01,ou=people,dc=linuxpanda,dc=tech
objectClass: posixAccount
objectClass: top
objectClass: inetOrgPerson
gidNumber: 0
givenName: test01
sn: test01
displayName:: 5rWL6K+VMQ==
uid: test01
homeDirectory: /home/test01
loginShell: /bin/bash
mail: [email protected]
cn:: 5rWL6K+VMQ==
uidNumber: 55545
userPassword:: e1NIQX1ReE5rdGtVUHhIek52Mm9pQmQvYkc2NjNsQkk9

dn: uid=test02,ou=people,dc=linuxpanda,dc=tech
objectClass: posixAccount
objectClass: top
objectClass: inetOrgPerson
gidNumber: 0
givenName: test02
sn: test02
displayName:: 5rWL6K+VMg==
uid: test02
homeDirectory: /home/test02
loginShell: /bin/bash
mail: [email protected]
cn:: 5rWL6K+VMg==
uidNumber: 50880
userPassword:: e1NIQX1ReE5rdGtVUHhIek52Mm9pQmQvYkc2NjNsQkk9

dn: uid=test03,ou=people,dc=linuxpanda,dc=tech
objectClass: posixAccount
objectClass: top
objectClass: inetOrgPerson
gidNumber: 0
givenName: test03
sn: test03
displayName:: 5rWL6K+VMw==
uid: test03
homeDirectory: /home/test03
loginShell: /bin/bash
mail: [email protected]
cn:: 5rWL6K+VMw==
uidNumber: 46507
userPassword:: e1NIQX1ReE5rdGtVUHhIek52Mm9pQmQvYkc2NjNsQkk9

查询特定用户

[[email protected]_0_15_centos ~]# ldapsearch  -LLL -w oracle   -x -H ldap://ldap.linuxpanda.tech -D"cn=admin,dc=linuxpanda,dc=tech" -b "ou=people,dc=linuxpanda,dc=tech" "(uid=test01)"   
dn: uid=test01,ou=people,dc=linuxpanda,dc=tech
objectClass: posixAccount
objectClass: top
objectClass: inetOrgPerson
gidNumber: 0
givenName: test01
sn: test01
displayName:: 5rWL6K+VMQ==
uid: test01
homeDirectory: /home/test01
loginShell: /bin/bash
mail: [email protected]
cn:: 5rWL6K+VMQ==
uidNumber: 55545
userPassword:: e1NIQX1ReE5rdGtVUHhIek52Mm9pQmQvYkc2NjNsQkk9

查询所有组

[[email protected]_0_15_centos grafana]# ldapsearch  -LLL -w oracle   -x -H ldap://ldap.linuxpanda.tech -D"cn=admin,dc=linuxpanda,dc=tech" -b "ou=grafana,ou=group,dc=linuxpanda,dc=tech"  
dn: ou=grafana,ou=group,dc=linuxpanda,dc=tech
objectClass: top
objectClass: organizationalUnit
ou: grafana

dn: cn=grafana-admins,ou=grafana,ou=group,dc=linuxpanda,dc=tech
objectClass: posixGroup
objectClass: top
cn: grafana-admins
gidNumber: 49004
memberUid: test01

dn: cn=grafana-editors,ou=grafana,ou=group,dc=linuxpanda,dc=tech
objectClass: posixGroup
objectClass: top
gidNumber: 34366
cn: grafana-editors
memberUid: test02

dn: cn=grafana-viewers,ou=grafana,ou=group,dc=linuxpanda,dc=tech
objectClass: posixGroup
objectClass: top
cn: grafana-viewers
gidNumber: 25527
memberUid: test03

 查询用户所在的组

[[email protected]_0_15_centos grafana]# ldapsearch  -LLL -w oracle   -x -H ldap://ldap.linuxpanda.tech -D"cn=admin,dc=linuxpanda,dc=tech" -b "ou=grafana,ou=group,dc=linuxpanda,dc=tech"   "(&(objectClass=posixGroup)(memberUid=test03))"
dn: cn=grafana-viewers,ou=grafana,ou=group,dc=linuxpanda,dc=tech
objectClass: posixGroup
objectClass: top
cn: grafana-viewers
gidNumber: 25527
memberUid: test03

修改ldap.toml文件

[[email protected]_0_15_centos grafana]# vim ldap.toml
[[email protected]_0_15_centos grafana]# cat ldap.toml

[[servers]]
host = "ldap.linuxpanda.tech"
port = 389
use_ssl = false
start_tls = false
ssl_skip_verify = false

bind_dn = "cn=admin,dc=linuxpanda,dc=tech"
bind_password = oracle

search_filter = "(uid=%s)"

search_base_dns = ["ou=people,dc=linuxpanda,dc=tech"]

group_search_filter = "(&(objectClass=posixGroup)(memberUid=%s))"
group_search_base_dns = ["ou=grafana,ou=group,dc=linuxpanda,dc=tech"]
[servers.attributes]
name = "givenName"
surname = "sn"
username = "uid"
#member_of = "memberOf"
member_of="cn"
email =  "mail"

[[servers.group_mappings]]
group_dn = "grafana-admins"
org_role = "Admin"

[[servers.group_mappings]]
group_dn = "grafana-editors"
org_role = "Editor"

[[servers.group_mappings]]
group_dn = "grafana-viewers"
#group_dn = "*"
org_role = "Viewer"

主要配置说明

host:就是指定你的ldap服务器,可以指定多个,需要分隔符。

port:你的ldap服务器的监听的端口。

bind_dn: 你需要特定ou的管理员账号,我这里使用了域管理者。

bind_password: 上面账号的密码。

search_filter:  用户搜索的过滤表达式,配合search_base_dns。

search_base_dns: 用户搜索的范围,这里在people这个ou里面搜索所有的用户,需要配合search_filter来完成用户的过滤。

group_search_filter: 组搜索的过滤表达式,配合group_search_base_dns。

group_search_base_dns: 指定组搜索的范围,我们的grafana这个ou里面设置了3个组。

servers.attributes: 这个主要是用户获取特定提取到的用户条目有特定字段的提取, username从查询的用户信息取特定字段值作为grafana的用户名, 

                              member_of 代表,根据group_search_base_dns和group_search_filter 得到特定的一个组后,取那个字段作为组名字。 这个取到的结果需要和下面的映射保持一致。

                              email代表取特定用户的mail字段作为grafana用户的email信息。

servers_group_mappings: 这个是用于定义ldap用户组和grafana角色组的映射关系的, 上面member_of ,group_search_base_dns和group_search_filter 这三个条件可以获取到ldap的组名,这里要和三个条件获取的一致。

 

一张图说清楚

技术分享图片

修改完毕重启服务进行测试。

最终结果图

技术分享图片

修改grafana的日志级别为info。

调试

 判定ldap服务是否可通

[[email protected]_0_15_centos grafana]# telnet ldap.linuxpanda.tech 389
Trying 58.87.98.84...
Connected to ldap.linuxpanda.tech.
Escape character is ^].

确定开启了ldap配置

检查grafana.ini文件确认有ldap=true启用的,默认去掉注释还是false,注意啦。

关注日志信息

主要的日志有2个,一个是grafana的日志, 一个是ldap的日志。

[[email protected]_0_15_centos grafana]# journalctl -f  
Sep 05 22:51:50 VM_0_15_centos grafana-server[12052]: t=2018-09-05T22:51:50+0800 lvl=dbug msg="Ldap User found" logger=ldap info="(*login.LdapUserInfo)(0xc420030fc0)({
 DN: (string) (len=42) "uid=test01,ou=people,dc=linuxpanda,dc=tech",
 FirstName: (string) (len=6) "test01",
 LastName: (string) (len=6) "test01",
 Username: (string) (len=22) "[email protected]",
 Email: (string) (len=22) "[email protected]",
 MemberOf: ([]string) <nil>
})
"
Sep 05 22:51:50 VM_0_15_centos grafana-server[12052]: t=2018-09-05T22:51:50+0800 lvl=dbug msg="Updating last user_seen_at" logger=context userId=2 orgId=1 uname[email protected] user_id=2
[[email protected]_0_15_centos grafana]# tail -f /var/log/slapd/slapd.log 

参考 

grafana官方帮助文档: http://docs.grafana.org/

以上是关于ldap配置系列三:grafana集成ldap的主要内容,如果未能解决你的问题,请参考以下文章

Grafana配置LDAP认证

ldap集成grafana

Rancher 部署Grafana+项目监控并集成LDAP

ldap配置系列二:jenkins集成ldap

如何在 Grafana helm 图表中配置自定义 LDAP?

kafka(2.2.1)(kerberos+LDAP+Sentry)访问使用