我从 microsoft/aspnet 存储库创建了一个容器。 我想在 IIS 中容器化一个 ASP.NET 4.x Web 应用程序,在该应用程序中我能够获取访问该站点的登录用户。我希望能够利用集成的 Windows 身份验证,因为这是一个内部应用程序。
我已经为容器主机创建了一个透明网络。
此外,我还在容器内的 IIS 上设置了 Windows 身份验证。我已经阅读了有关在容器主机上创建组托管服务帐户的信息,但我还没有这样做,并且不确定这是否足够,或者我必须采取进一步的步骤。
最佳答案
创建组托管服务帐户 (gMSA) 只是使 Windows 身份验证与容器一起使用所需执行的步骤之一。您还需要一个 Credential Spec,其中包含有关您创建的 gMSA 的信息,容器将使用它来将 gMSA 帐户交换为应用程序的应用程序池使用的内置帐户(LocalSystem、NetworkService、ApplicationPoolIdentity)。
真的,最少的步骤是:
1) 创建一个 AD 组,您可以使用它来添加将用于托管您的容器的机器。
PS> New-ADGroup "Container Hosts" -GroupScope Global
PS> $group = Get-ADGroup "Container Hosts"
PS> $host = Get-ADComputer "mydockerhostmachine"
PS> Add-ADGroupMember $group -Members $host
2) 创建您的 gMSA 帐户以用于您的应用:
PS> New-ADServiceAccount -name myapp -DNSHostName myapp.mydomain.local -ServicePrincipalNames http/myapp.mydomain.local -PrincipalsAllowedToRetrieveManagedPassword "Container Hosts"
PrincipalsAllowedToRetrieveManagePassword 的值应该是您在步骤 1 中创建的 AD 组的名称。
3) 然后,在每个容器主机上:
一个。安装 Powershell Active Directory 模块并测试以查看您是否能够从主机使用 gMSA:
PS> Add-WindowsFeature RSAT-AD-PowerShell
PS> Import-Module ActiveDirectory
PS> Install-AdServiceAccount myapp
PS> Test-AdServiceAccount myapp
b.安装凭据规范 Powershell 模块并创建凭据规范:
PS> Invoke-WebRequest https://raw.githubusercontent.com/Microsoft/Virtualization-Documentation/live/windows-server-container-tools/ServiceAccounts/CredentialSpec.psm1 -OutFile CredentialSpec.psm1
PS> Import-Module .\CredentialSpec.psm1
PS> New-CredentialSpec -Name myapp -AccountName myapp
c。现在,如果一切配置正确,您就可以使用此凭证规范运行您的容器:
docker run --security-opt "credentialspec=file://myapp.json" -d -p
80:80 -h myapp.mydomain.local [my-image-name:tag]
请记住以上内容 - 确保您在创建 gMSA 时使用的服务主体名称与容器的主机名(-h 参数)匹配。否则,如果您的应用程序使用 Windows 身份验证来访问其他域资源或服务(例如 SQL Server),您将遇到问题。此外,如果您要访问 SQL Server 等其他资源,请确保还授予 gMSA 帐户对这些服务的适当权限。
最后,在创建 Dockerfile 时,不要尝试将 gMSA 帐户直接分配给您的应用程序池。使用其中一个内置帐户,让引擎为您换出容器中的帐户。换句话说,您在 Dockerfile 中创建的应用程序池应该看起来像这样:
RUN Import-Module WebAdministration; `
New-Item -Path IIS:\AppPools\MyAppPool; `
Set-ItemProperty -Path IIS:\AppPools\MyAppPool -Name managedRuntimeVersion -Value 'v4.0'; `
Set-ItemProperty -Path IIS:\AppPools\MyAppPool -Name processModel -value @{identitytype='ApplicationPoolIdentity'}
关于asp.net - 在 Docker 容器 ASP.NET 应用程序中集成 Windows 身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47337969/