- Je soumets un...
- [ ] Rapport d'erreur
- [x] Demande de fonctionnalité
- [ ] Question / Demande d'assistance : veuillez ne pas ouvrir de problème github. Options d'assistance
..en ce qui concerne le problème #6567, nous avons besoin d'un ou de plusieurs paramètres grafana.ini qui contrôlent si ..
- Les administrateurs d'organisation sont autorisés à inviter des personnes introuvables via les paramètres LDAP (nom d'utilisateur ou attribut d'e-mail dans LDAP).
- Les administrateurs d'organisation sont autorisés à inviter des personnes par une adresse e-mail externe (une adresse e-mail qui ne se trouve pas dans LDAP ou grafana-db local)
Veuillez inclure ces informations :
- Quelle version de Grafana utilisez-vous ?
v3.1.1 (validation : a4d2708) - Quelle source de données utilisez-vous ?
Elasticsearch/InfluxDB - Sur quel système d'exploitation utilisez-vous grafana ?
Linux, RHEL 7.2 - Qu'est-ce que tu as fait?
J'ai invité un utilisateur par une adresse e-mail. Seules les inscriptions LDAP sont autorisées et l'inscription générale des utilisateurs est interdite. - Quel était le résultat attendu ?
Je m'attendais à ce que mon invitation soit refusée si je donnais une adresse e-mail, car je n'autorise que les utilisateurs LDAP à s'inscrire et à se connecter. Ainsi, cela autoriserait mon invitation si je donnais un utilisateur LDAP avec ce nom d'utilisateur ou un utilisateur LDAP avec cette adresse e-mail. - Que s'est-il passé à la place ?
Il a créé un nouvel utilisateur avec une adresse e-mail en tant que "nom d'utilisateur" dans le grafana-db. Cet utilisateur est un utilisateur local. Ainsi, l'utilisateur pouvait se connecter et faisait alors partie de l'organisation à laquelle il était invité.
Les paramètres correspondants pourraient ressembler à ceci dans grafana.ini - en utilisant une nouvelle section pour le contrôler :
[invites]
enabled = true
allow_by_email = true
allow_external_emails = false
allow_by_username = true
search_db = true
search_ldap = true
Dans cette constellation, ce serait...
- généralement autorisé à inviter quelqu'un.
- autorisé à inviter quelqu'un par une adresse e-mail.
- grafana examinerait ensuite les utilisateurs existants ayant cette adresse e-mail dans la base de données grafana.
- s'il n'est pas déjà trouvé : grafana devra rechercher parmi les utilisateurs existants ayant cette adresse e-mail dans ldap, si la configuration ldap est définie (voir l'attribut email).
- autorisé à inviter quelqu'un par un nom d'utilisateur.
- grafana aurait besoin de parcourir les utilisateurs existants ayant ce nom d'utilisateur dans grafana-db
- s'il n'est pas déjà trouvé : grafana devra rechercher parmi les utilisateurs existants ayant ce nom d'utilisateur dans ldap, si ldap-configuration est défini (voir l'attribut de nom d'utilisateur)
Si search_ldap était faux, il n'essaierait pas d'obtenir un utilisateur de LDAP et ne rechercherait que le grafana-db.
S'il n'est même pas trouvé dans grafana-db et que l'invitation donnée était une adresse e-mail, il faudrait que allow_external_emails soit vrai pour envoyer un e-mail au monde extérieur.
Comme première étape du développement, la clé "activée" suffirait un peu. Au comportement actuel, je désactiverais les invitations.
arebackenautldap
typfeature-request
Commentaire le plus utile
Des nouvelles sur ce sujet ?
Il me semble qu'il pourrait être très important dans un environnement de production de pouvoir désactiver l'invitation.