我想使用Windows身份验证来访问托管在Windows容器中的ASP.NET应用程序(在Windows Server 2016 TP4中)。为此,我假设我需要将容器添加到Active Directory域。是否可以将Windows容器(或Hyper-V容器)添加到域?微软没有关于此的明确文档,我本人也尝试使用PowerShell将容器添加到域中,但没有运气。
如果不支持加入Container的域,是否有其他方法可以在Windows或Hyper-V容器中托管的Web应用程序中启用Windows身份验证?
任何意见都将受到高度赞赏。
答案 0 :(得分:3)
Microsoft最近为使用域凭据访问资源的容器提供了解决方案:group managed service accounts。
虽然Windows容器无法加入域,但它们也可以 利用与a时类似的Active Directory域身份 设备是现实加入的。使用Windows Server 2012 R2域 控制器,我们引入了一个名为Group Managed的新域帐户 服务帐户(gMSA),旨在由服务共享。
此外,这里有a guide that walks through the specific steps in detail,内容如下:
使用模拟域标识部署容器很简单,并且 基于使用Windows Server和Active的现有工作流程 目录。
部署此功能需要:
- 现有的Active Directory域,在Windows Server 2012或Windows Server上运行 后期功能水平
- 具有Container角色的Windows Server 2016 Docker已安装。这将被称为容器主机。这些 主机需要加入域。
本指南将涵盖 以下步骤详细部署容器:
- 在Active Directory中创建一个组托管服务帐户 每个申请/服务
- 授予每个容器主机访问权限 组托管服务帐户
- 在每个上添加配置文件 容器主机,用于存储有关组托管服务的详细信息 帐户。这些将被称为凭据规范
- 开始 带有参数的容器,告知使用哪个凭据规范
答案 1 :(得分:1)
Windows Containers - Work in progress
的摘录"容器无法加入Active Directory域,也无法以域用户,服务帐户或计算机帐户的形式运行服务或应用程序。"