Integrating Windows Authentication for Windows AP containers
這篇文章在說明容器化Windows Server 應用程式整合 AD 的原理與方法。 Windows 容器無法加入網域,但仍可使用 Active Directory 網域身分識別來支援各種驗證案例。 可以設定 Windows 容器以 gMSA (group managed service account) 執行,這是 Windows Server 2012 中引進的一種特殊的服務帳戶,其設計目的是讓多部電腦共用身分識別,而不需要知道密碼。 關於 gMSA 的進一步說明,可以參考: https://www.itprotoday.com/windows-8/understanding-differences-between-msas-and-gmsas https://span.eu/en/business-solution/group-managed-service-accounts-gmsa-protect-service-account-credentials/ 使用 gMSA 執行容器時,容器主機會從 Active Directory 網域控制站抓取 gMSA 密碼,並將其提供給容器實例。 gMSA 的密碼不存在 容器主機上。 每次其電腦帳戶(系統)需要存取網路資源時,容器都會使用 gMSA 認證。 建立群組受管理的服務帳戶 (Group Managed Service Account) 使用整合式 Windows 驗證的每個容器都需要至少一個 gMSA 必須使用屬於Domain Admins安全性群組的帳戶,或是已被委派Create msds-groupmanagedserviceaccount objects許可權,才能執行下列命令。 # Create the security group # New-ADGroup # Create the gMSA # New-ADServiceAccount # Add your container hosts to the security group # Add-ADGroupMember 確認主機可以使用 gMSA 帳戶 在 Window