Проверка подлинности Windows для приложения, размещенного в контейнере Windows

Я хотел бы использовать проверку подлинности Windows для доступа к приложению ASP.NET, размещенному в контейнере Windows (в Windows Server 2016 TP4). Для этого я предполагаю, что мне нужно добавить контейнер в домен Active Directory. Можно ли добавить контейнер Windows (или контейнер Hyper-V) в домен? Четкой документации от Microsoft по этому поводу нет, и я сам пытался добавить контейнер в домен с помощью PowerShell, но безуспешно.

Если присоединение домена к контейнеру не поддерживается, есть ли альтернативный способ включить проверку подлинности Windows в веб-приложении, размещенном в контейнере Windows или Hyper-V?

Любой вклад будет высоко оценен.


windows docker asp.net windows-authentication windows-server-2016
person Tanmoy Sengupta    schedule 08.01.2016    source источник

Ответы (2)


arrow_upward
3
arrow_downward

Microsoft недавно предоставила решение для доступа контейнеров к ресурсам с использованием учетных данных домена: группировать управляемые сервисные аккаунты.

Хотя контейнеры Windows не могут быть присоединены к домену, они также могут использовать преимущества удостоверений домена Active Directory, как если бы устройство было присоединено к области. В контроллерах домена Windows Server 2012 R2 мы представили новую учетную запись домена, называемую групповой управляемой учетной записью службы (gMSA), которая была разработана для совместного использования службами.

Кроме того, вот руководство, в котором рассматриваются конкретные подробные шаги, включая следующее:

Развертывание контейнеров с эмулируемым удостоверением домена выполняется просто и основано на существующих рабочих процессах с использованием Windows Server и Active Directory.

Для развертывания этой функции требуется:

  • Существующий домен Active Directory, работающий на функциональном уровне Windows Server 2012 или более поздней версии.
  • Windows Server 2016 с установленной ролью Container и Docker. Это будет называться хост-контейнер. Эти хосты должны быть присоединены к домену.

В этом руководстве подробно рассматриваются следующие шаги по развертыванию контейнера:

  1. Создайте групповую управляемую учетную запись службы в Active Directory для каждого приложения/службы.
  2. Предоставьте каждому узлу контейнера доступ для использования групповой управляемой учетной записи службы.
  3. Добавьте файлы конфигурации на каждый узел контейнера, в которых хранятся сведения о групповых управляемых учетных записях служб. Они будут называться Спецификации учетных данных.
  4. Запускать контейнеры с параметром, указывающим, какую спецификацию учетных данных использовать.
person Michael Fredrickson    schedule 22.12.2016
comment
Это отлично работает для процессов, запущенных внутри контейнера, но, похоже, не работает для служб, работающих внутри контейнера, даже при работе в качестве LocalService. Кто-нибудь еще заметил это? - person nh43de; 19.07.2017
comment
можно попробовать с локальной системой и сетевым сервисом? как указано в документе: docs.microsoft.com/ en-us/virtualization/windowscontainers/ , он работает только тогда, когда служба запускается как локальная система или сетевая служба. - person codeKnight; 11.01.2019

arrow_upward
1
arrow_downward

Выдержка из Контейнеры Windows – работа выполняется

«Контейнеры не могут присоединяться к доменам Active Directory и не могут запускать службы или приложения в качестве пользователей домена, учетных записей служб или учетных записей компьютеров».

person nilleb    schedule 12.05.2016