Authentication Grafana openldap身份验证&xFF1A；grafana找不到ldap用户_Authentication_Ldap_Grafana

Authentication Grafana openldap身份验证&xFF1A；grafana找不到ldap用户

authentication ldap grafana

Authentication Grafana openldap身份验证&xFF1A；grafana找不到ldap用户,authentication,ldap,grafana,Authentication,Ldap,Grafana,我花了很多天的时间试图让Grafana通过Active Directory的LDAP对用户进行身份验证。如果有人有必要的魔法让它工作，我会很高兴我和格拉法娜有点问题。我想这也许是个好地方。我尝试使用LDAPS auth进行用户身份验证，但失败了环境：ubuntu14.04 grafana6.2 openldap2.4.31 以下是我的配置文件的相关部分： ----------------ldap.toml---------- --------------default.ini-------

我花了很多天的时间试图让Grafana通过Active Directory的LDAP对用户进行身份验证。如果有人有必要的魔法让它工作，我会很高兴

我和格拉法娜有点问题。我想这也许是个好地方。我尝试使用LDAPS auth进行用户身份验证，但失败了

环境：ubuntu14.04 grafana6.2 openldap2.4.31

以下是我的配置文件的相关部分：

----------------ldap.toml----------

--------------default.ini---------

以下是ldap用户信息： ldapsearch-LLL-w 123456-x-Hldap://127.0.0.1 -D“cn=admin，dc=sscc，dc=com”-b

当我使用“test1”登录时，它将失败

以下是失败日志：

但当我设置组映射时：

我可以通过使用“test1”成功。我不知道为什么。我认为可能存在一些不正确的参数设置

欢迎任何帮助

看来

test1

用户不是

users

组的成员

成员身份由指向用户的

uid

的一个或多个

memberUid

属性定义
您的第一条日志消息显示了用于搜索包含Uid为test1的成员的组的查询筛选器。

：（&（objectClass=posixGroup）（memberUid=test1））

users
组包含属性objectClass=posixGroup
，但不包含属性memberUid=test1
，因此查询不会返回该属性。为了让test1
访问编辑器角色，users
组应具有相应的memberUid
属性，将其定义为成员：
dn: cn=users,dc=sscc,dc=com
gidNumber: 500
cn: users
objectClass: posixGroup
objectClass: top
memberUid: test1


每当您使用group\u dn=“*”
定义组映射时，具有有效uid
的任何经过身份验证的用户都将被授权担任该角色，而不管组成员身份如何。这就是test1
在配置为忽略组成员身份后能够访问查看器角色的原因
[auth.ldap]
enabled = true
config_file = /etc/grafana/ldap.toml
allow_sign_up = true

# LDAP backround sync (Enterprise only)
sync_cron = @hourly
active_sync_enabled = false

"cn=users,dc=sscc,dc=com"
dn: cn=users,dc=sscc,dc=com
gidNumber: 500
cn: users
objectClass: posixGroup
objectClass: top

dn: cn=test1,cn=users,dc=sscc,dc=com
cn:: IHRlc3Qx
gidNumber: 500
homeDirectory: /home/users/test1
sn: test1
loginShell: /bin/sh
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
userPassword:: MTIzNDU2
uidNumber: 1000
uid: test1
mail: test1@sscc.com

t=2019-11-21T21:16:25-0500 lvl=info msg="Searching for user's groups" logger=ldap filter="(&(objectClass=posixGroup)(memberUid= test1))"
t=2019-11-21T21:16:25-0500 lvl=info msg="Second bind failed" logger=ldap error="LDAP Result Code 49 \"Invalid Credentials\": "
t=2019-11-21T21:16:25-0500 lvl=eror msg="Error while trying to authenticate user" logger=context userId=0 orgId=0 uname= error="Invalid Username or Password"
t=2019-11-21T21:16:25-0500 lvl=eror msg="Request Completed" logger=context userId=0 orgId=0 uname= method=POST path=/login status=500 remote_addr=xx.xxx.xx.x time_ms=9 size=53 referer=http://xx.xxx.xx.xxx:3000/login

[[servers.group_mappings]]
# If you want to match all (or no ldap groups) then you can use wildcard
group_dn = "*"
org_role = "Viewer"
org_id = 3

dn: cn=users,dc=sscc,dc=com
gidNumber: 500
cn: users
objectClass: posixGroup
objectClass: top
memberUid: test1