Uruchamianie usługi jako użytkownik lub grupa usługi Active Directory

  • Artykuł

W autonomicznym klastrze systemu Windows Server można uruchomić usługę jako użytkownik lub grupę usługi Active Directory przy użyciu zasad Uruchom jako. Domyślnie aplikacje usługi Service Fabric są uruchamiane na koncie, w ramach którego działa proces Fabric.exe. Uruchamianie aplikacji na różnych kontach, nawet w udostępnionym środowisku hostowanym, sprawia, że są one bezpieczniejsze od siebie. Należy pamiętać, że używa on lokalnej usługi Active Directory w domenie, a nie identyfikatora Entra firmy Microsoft. Możesz również uruchomić usługę jako konto usługi zarządzane przez grupę (gMSA).

Za pomocą użytkownika lub grupy domeny można uzyskać dostęp do innych zasobów w domenie (na przykład udziałów plików), które zostały przyznane uprawnienia.

W poniższym przykładzie pokazano użytkownika usługi Active Directory o nazwie TestUser z hasłem domeny zaszyfrowanym przy użyciu certyfikatu o nazwie MyCert. Możesz użyć Invoke-ServiceFabricEncryptText polecenia programu PowerShell, aby utworzyć tajny tekst szyfrowania. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie wpisami tajnymi w aplikacjach usługi Service Fabric.

Musisz wdrożyć klucz prywatny certyfikatu, aby odszyfrować hasło na komputerze lokalnym przy użyciu metody poza pasmem (na platformie Azure jest to za pośrednictwem usługi Azure Resource Manager). Następnie, gdy usługa Service Fabric wdraża pakiet usługi na maszynie, może odszyfrować wpis tajny i (wraz z nazwą użytkownika) uwierzytelnić się w usłudze Active Directory w celu uruchomienia w ramach tych poświadczeń.

<Principals>
  <Users>
    <User Name="TestUser" AccountType="DomainUser" AccountName="Domain\User" Password="[Put encrypted password here using MyCert certificate]" PasswordEncrypted="true" />
  </Users>
</Principals>
<Policies>
  <DefaultRunAsPolicy UserRef="TestUser" />
  <SecurityAccessPolicies>
    <SecurityAccessPolicy ResourceRef="MyCert" PrincipalRef="TestUser" GrantRights="Full" ResourceType="Certificate" />
  </SecurityAccessPolicies>
</Policies>
<Certificates>

Uwaga

Jeśli zastosujesz zasady Uruchom jako do usługi, a manifest usługi deklaruje zasoby punktu końcowego przy użyciu protokołu HTTP, należy również określić wartość SecurityAccessPolicy. Aby uzyskać więcej informacji, zobacz Przypisywanie zasad dostępu zabezpieczeń dla punktów końcowych HTTP i HTTPS.

W następnym kroku przeczytaj następujące artykuły: