Продолжаю настраивать интеграцию сервисов и FreeIPA и аналогично Zabbix настроим авторизацию Grafana при помощи учетных данных IPA-домена.

Учетную запись и группу для ограничения доступа будем использовать аналогично использовавшейся в заметке «Интеграция Zabbix и FreeIPA (авторизация пользователей домена)».

Прежде всего разрешаем использовать LDAP для авторизации в Grafana для чего в файле /etc/grafana/grafana.ini изменяем параметры.

[auth.ldap]
enabled = true
config_file = /etc/grafana/ldap.toml
allow_sign_up = true

Соответственно настройки в файле /etc/grafana/ldap.toml и в моем случаем получилась следующая конфигурация.

# To troubleshoot and get more log info enable ldap debug logging in grafana.ini
# [log]
# filters = ldap:debug

[[servers]]
host = "srv-kvm-prod-rain-01.rain.shiskitech.ru"
port = 389
use_ssl = false
use_starttls = false
ssl_skip_verify = false

bind_dn = "uid=_zabbix,cn=users,cn=accounts,dc=rain,dc=shiskitech,dc=ru"
bind_password = 'xxxPASSWORDxxx'

search_filter = "(uid=%s)"
search_base_dns = ["cn=users,cn=accounts,dc=rain,dc=shiskitech,dc=ru"]

[servers.attributes]
name = "givenName"
surname = "sn"
username = "uid"
member_of = "memberOf"
email = "mail"

#[[servers.group_mappings]]
#group_dn = "cn=_zabbix_allow,cn=groups,cn=accounts,dc=rain,dc=shiskitech,dc=ru"
#org_role = "Viewer"
#
#[[servers.group_mappings]]
#group_dn = "cn=_zabbix_allow,cn=groups,cn=accounts,dc=rain,dc=shiskitech,dc=ru"
#org_role = "Editor"

[[servers.group_mappings]]
group_dn = "cn=_zabbix_allow,cn=groups,cn=accounts,dc=rain,dc=shiskitech,dc=ru"
org_role = "Admin"

Маппинг групп производится в секциях [[servers.group_mappings]]