LDAP Sync Grafana und Yunohost-Gruppen

Hallo allerseits,

das gewünschte Verhalten von Grafana unter Yunohost soll sein, dass Yunohost-admins in Grafana die Grafana-Rolle “Admin” bekommen und Yunohost-all_users die Grafana-Rolle “Editor” bekommen.

Die /etc/grafana/ldap.toml macht aber alle User ausnahmslos zu “Admin”. Lässt man dort die group_dn auf “*” und ändert die Rolle auf "Editor’, so werden zwar alle User tatsächlich “Editor”, aber der Yunohost-admin wird dann offenbar “Gast” und kann sich nicht mehr an Grafana anmelden.

Die Grafana-Doku sagt, man möge zwei Abschnitte getrennt für die “Editor”- und die “Admin”-Rolle machen, was im LDAP unter den Grafana-Rechten wohl auch schon so vorgesehen ist, aber es ist mir nach vielen Versuchen nicht gelungen, die beiden group_dn’s in den beiden Abschnitten der ldap.toml so zu formulieren, dass die beiden Einträge admins und all_users ihre jeweiligen Rollen zuordnen.

Steckt da ein Bug dahinter oder gibt es etwas, das ich noch nicht ausprobiert habe?

(Es wäre bedeutend einfacher, wenn es für Grafana ähnlich wie bei Node Red separat zuweisbare Rechte für Administration und Benutzer im Yunohost-Admin-Frontend gâbe. Aber das wäre purer Luxus. Ein Zusammenspiel von ldap.toml und Yunohost-Rechten würde schon reichen.,)

Vielen Dank im voraus
T.

For me, the problem was solved by a workaround and this ticket may be closed:

If the standard role in /etc/grafana/ldap.toml is set to “Editor” with admin_role=false, then all users will become Editors. BEFORE this step you have to create an grafana-admin-user (with grafana role admin) in grafana manually.

Now all regular users will become Editors, but the LDAP admin user will be forced to login to grafana with grafana authentication. That one can now login with the manually created grafana admin account.

best regards
T.

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.