Grafana: [Запрос на функцию] Добавьте grafana.ini-settings, чтобы изменить поведение разрешенных приглашений для учетной записи в корпоративной среде.

• Я отправляю ...
• [ ] Сообщение об ошибке
• [x] Запрос функции
• [] Вопрос / запрос в службу поддержки: пожалуйста, не открывайте проблему с github. Варианты поддержки

..в отношении проблемы № 6567 нам нужны настройки grafana.ini, которые контролируют, будет ли ..

• Администраторам организации разрешено приглашать людей, которых нельзя найти через настройки LDAP (имя пользователя или атрибут электронной почты в LDAP).
• Администраторам организации разрешено приглашать людей с помощью внешнего адреса электронной почты (адреса электронной почты, которого нет в LDAP или локальном grafana-db).

Пожалуйста, включите эту информацию:

• Какую версию Grafana вы используете?
  v3.1.1 (фиксация: a4d2708)
• Какой источник данных вы используете?
  Elasticsearch / InfluxDB
• На какой ОС вы используете Grafana?
  Linux, RHEL 7.2
• Что ты сделал?
  Я пригласил пользователя по электронной почте. Разрешена только регистрация LDAP, а обычная регистрация пользователей запрещена.
• Каков был ожидаемый результат?
  Я ожидал, что он отклонит мое приглашение, если я предоставлю адрес электронной почты, потому что я разрешаю только пользователям LDAP регистрироваться и входить в систему. Таким образом, это разрешит мое приглашение, если я предоставлю пользователю LDAP с этим именем пользователя или пользователю LDAP с этим адресом электронной почты.
• Что произошло вместо этого?
  Он создал нового пользователя с адресом электронной почты как "имя пользователя" в grafana-db. Этот пользователь является локальным пользователем. Таким образом, пользователь мог войти в систему и стать частью той организации, в которую его пригласили.

Соответствующие настройки могут выглядеть так в grafana.ini - используя новый раздел для управления им:

[invites]
enabled = true
allow_by_email = true
allow_external_emails = false
allow_by_username = true
search_db = true
search_ldap = true

В этом созвездии было бы ..

• вообще разрешено кого-то пригласить.
• разрешено приглашать кого-либо по адресу электронной почты.
  
  
  
  • Затем grafana просматривает существующих пользователей, имеющих этот адрес электронной почты, в файле grafana-db.
  
  
  • если он еще не найден: grafana необходимо будет просмотреть существующих пользователей, имеющих этот адрес электронной почты в ldap, если установлена ​​ldap-configuration (см. атрибут электронной почты).
  
  
• разрешено приглашать кого-либо по имени пользователя.
  
  
  
  • grafana необходимо будет просмотреть существующих пользователей с таким именем в grafana-db
  
  
  • если еще не найден: grafana необходимо будет просмотреть существующих пользователей, имеющих это имя пользователя в ldap, если установлена ​​ldap-configuration (см. атрибут имени пользователя)
  
  

Если search_ldap был ложным, он не будет пытаться получить пользователя из LDAP, а будет искать только в grafana-db.

Если он даже не найден в grafana-db, а данное приглашение было адресом электронной почты, для отправки электронного письма во внешний мир ему потребуется значение allow_external_emails.

В качестве первого шага в разработке было бы достаточно "активированного" ключа. При текущем поведении я бы отключил приглашения.