Este artículo cubrirá cómo integrar rápidamente Grafana y el servidor LDAP para aumentar la seguridad de su aplicación
Grafana es una de las herramientas de panel más utilizadas, principalmente para las plataformas de observabilidad en entornos de carga de trabajo en la nube. Pero ninguna de estas herramientas está completa hasta que pueda configurarlas para cumplir con sus estándares de seguridad. La seguridad se está volviendo cada vez más importante y esto es especialmente cierto cuando hablamos de cualquier componente relacionado con la nube. Por lo tanto, este tema siempre debe ser algo que cualquier arquitecto de la nube tenga en mente cuando esté definiendo o implementando cualquier pieza de software hoy en día.
Y en ese punto, la integración LDAP es una de las principales cosas que siempre necesitarás hacer. No conozco ninguna empresa, grande o pequeña, que permita el uso de cualquier herramienta con una interfaz gráfica de usuario si no está conectada al directorio corporativo.
Así que, veamos cómo podemos implementar esto con una herramienta popular como Grafana. En mi caso, voy a usar una versión en contenedor de Grafana, pero los pasos y cosas a hacer siguen siendo los mismos sin importar el modelo de implementación.
La tarea que vamos a realizar se basa en tres pasos:
- Habilitar la configuración de LDAP
- Configuración básica de LDAP
- Configuración de mapeo de grupos
Lo primero que necesitamos modificar es el grafana.ini añadiendo el siguiente fragmento:
[auth.ldap]
enabled = true
config_file = /etc/grafana/ldap.toml
Eso significa que estamos habilitando la autenticación basada en LDAP y estableciendo la ubicación del archivo de configuración de LDAP. Este ldap.toml tiene toda la configuración necesaria para el LDAP:
[[servers]]
host = "localhost"
port = 389
use_ssl = false
start_tls = false
ssl_skip_verify = false
bind_dn = "XXXXXX-XXXXXXXXX"
bind_password = "XXXXXX"
search_filter = "(&(sAMAccountName=%s)(memberOf=ADMIN_GROUP))"
search_base_dns = [DC=example,DC=org"]
[servers.attributes]
member_of = "member"
email = "mail"
name = "givenName"
surname = "sn"
username = "sAMAccountName"
[[servers.group_mappings]]
group_dn = "*"
org_role = "Admin"
La primera parte se refiere a la conexión principal. Estableceremos la ubicación del host y el puerto, el usuario administrador y la contraseña. Después de eso, necesitaremos una segunda sección que defina search_filter y search_base_dns para definir los usuarios que pueden acceder al sistema.
Finalmente, tenemos otra sección para definir el mapeo entre los atributos de LDAP y los atributos de Grafana para poder recopilar los datos del LDAP.
[servers.attributes]
member_of = "member"
email = "mail"
name = "givenName"
surname = "sn"
username = "sAMAccountName"
Además, podemos definir los privilegios que los diferentes grupos permiten tener a los varios org_roles en Grafana, como puedes ver en el fragmento a continuación:
[[servers.group_mappings]]
group_dn = "*"
org_role = "Admin"
Con todos esos cambios en su lugar, necesitas reiniciar el servidor de Grafana para ver toda esta configuración aplicada. Después de ese punto, puedes iniciar sesión usando las credenciales de LDAP como puedes ver en la imagen a continuación y ver todos los datos recuperados del servidor LDAP:
Usando el servidor admin por defecto, también puedes usar una nueva función para probar la configuración de LDAP usando la opción LDAP que puedes ver en la imagen a continuación:
Y luego puedes buscar un Usuario y verás cómo este usuario se desempeñará en el servidor de Grafana:
- Verificar los atributos que se mapearán del servidor LDAP al servidor Grafana
- También verificar el estado de actividad y el rol permitido a este usuario
Puedes ver un ejemplo en la imagen a continuación:
Espero que este artículo te ayude a mejorar la configuración de seguridad en tus instalaciones de Grafana para integrarse con el servidor LDAP. Si deseas ver más información sobre este y temas similares, te animo a que eches un vistazo a los enlaces que encontrarás debajo de estas oraciones.