文档 Grafana 文档 设置 配置安全性 配置身份验证 LDAP 用户界面

使用 Grafana 用户界面配置 LDAP 身份验证

本页面介绍如何使用 Grafana 用户界面配置 LDAP 身份验证。有关使用配置文件配置 LDAP 身份验证的更多详细信息，请参阅 LDAP 身份验证。

使用 Grafana 用户界面配置 LDAP 身份验证的优势包括

• 无需手动编辑配置文件。
• 快速测试与 LDAP 服务器的连接。
• 更改后无需重启 Grafana。

开始之前

按照这些说明操作，您需要

• 了解 LDAP 身份验证及其工作原理。
• Grafana 实例版本 v11.3.0 或更高版本。
• 具有 settings:auth.ldap:* 范围的 settings:read 和 settings:write 权限。
• 启用 ssoSettingsLDAP 特性开关。

配置 LDAP 身份验证的步骤

登录 Grafana 并导航到 Administration > Authentication > LDAP。

1. 完成必填字段

必填字段旁边标有星号 (*)。填写以下字段

1. 服务器主机：LDAP 服务器的主机名或 IP 地址。
2. 搜索过滤器：用于在目录中查找条目的 LDAP 搜索过滤器。
3. 搜索基础 DN：要搜索的基础 DN 列表。

2. 完成可选字段

根据需要填写可选字段

1. 绑定 DN：用于绑定的用户的专有名称 (DN)。
2. 绑定密码：服务器密码。

3. 高级设置

点击高级设置部分的编辑按钮来配置以下设置

1. 其他设置

LDAP 身份验证的补充设置。

1. 允许注册：允许新用户在登录时注册。
2. 端口：LDAP 服务器的端口号。默认为 389。
3. 超时：等待 LDAP 服务器响应的秒数。

2. 属性

用于将 LDAP 用户声明映射到 Grafana 用户属性的属性。

1. 姓名：要映射到 Grafana 用户姓名的声明属性名称。
2. 姓氏：要映射到 Grafana 用户姓氏的声明属性名称。
3. 用户名：要映射到 Grafana 用户用户名的声明属性名称。
4. 所属成员：要映射到 Grafana 用户成员资格的声明属性名称。
5. 邮箱：要映射到 Grafana 用户邮箱的声明属性名称。

3. 组映射

将 LDAP 组映射到 Grafana 角色。

1. 跳过组织角色同步：此选项避免同步组织角色。当您想手动管理角色时非常有用。

2. 组搜索过滤器：用于在目录中查找组的 LDAP 搜索过滤器。

3. 组搜索基础 DN：指定匹配组位置的基础 DN 列表。

4. 组名属性：识别组条目中的用户。

5. 管理组映射:

   管理组映射时，以下字段可用。要添加新的组映射，请点击添加组映射按钮。

   1. 添加组 DN 映射：用于提取 ID token 的键名称。
   2. 添加组织角色映射：选择映射到此组的基本角色。
   3. 添加组织 ID 成员资格映射：将组映射到组织 ID。
   4. 定义 Grafana 管理员成员资格：为该组启用 Grafana 管理员权限。

4. 额外安全设置

LDAP 身份验证的其他安全设置选项。

1. 启用 SSL：此选项将启用 SSL 连接到 LDAP 服务器。
2. 启动 TLS：使用 StartTLS 加密连接到 LDAP 服务器。
3. 最小 TLS 版本：选择要使用的最小 TLS 版本。TLS1.2 或 TLS1.3
4. TLS 密码套件：列出用于连接的密码套件。有关完整的密码套件列表，请参阅 Cipher Go 库。
5. 加密密钥和证书供应规范：本节允许您指定 LDAP 服务器的密钥和证书。您可以通过两种方式提供密钥和证书：Base64 编码或文件路径。
   1. Base64 编码证书：本节中使用的所有值都必须是 Base64 编码。
      1. 根 CA 证书内容：根 CA 证书列表。
      2. 客户端证书内容：客户端证书内容。
      3. 客户端密钥内容：客户端密钥内容。
   2. 文件路径：文件系统中密钥和证书文件的路径
      1. 根 CA 证书路径：根 CA 证书的路径。
      2. 客户端证书路径：客户端证书的路径。
      3. 客户端密钥路径：客户端密钥的路径。

4. 持久化配置

配置完 LDAP 设置后，点击保存以持久化配置。

如果您想删除通过 UI 进行的所有更改并恢复到配置文件设置，请点击三点菜单图标，然后点击重置为默认值。