Комментарии 5
Очень интересно почему были отброшены варианты с LDAP, oAuth?
У себя в проекте мы используем собственный сервис авторизации, где регистрируются и авторизовываются пользователи. В графане мы хотим авторизовывать только пользователей нашего сервиса. Реализовывать в нем поддержу OAuth было бы гораздо дороже, чем просто проверять наличие валидной сесси, с которой пришел пользователь. С LDAP думаю все еще сложнее.
вроде не указали, а может я не заметил, но в графане хорошо бы указать whitelist адресов откуда заголовок авторизации будет считаться легитимным, иначе с любого адреса с правильным заголовком можно стать «админом» графаны.
Вы правы, whitelist одна из важных настроек в данном случае. Я добавлю это в статью.
Почему сразу этого не сделал?
В примере контейнер с grafana (порт наружу не пробрасывается) находится в сети gnet, куда имеют доступ только proxy и сервис авторизации. Это относительно безопасно, если считать что во внутренней сети легитимны любые запросы, а из вне в grafana можно попасть только через прокси.
Почему сразу этого не сделал?
В примере контейнер с grafana (порт наружу не пробрасывается) находится в сети gnet, куда имеют доступ только proxy и сервис авторизации. Это относительно безопасно, если считать что во внутренней сети легитимны любые запросы, а из вне в grafana можно попасть только через прокси.
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пишем Grafana reverse proxy на Go