Einrichten gruppenverwalteter Dienstkonten für in Service Fabric ausgeführte Windows-Container
Zur Einrichtung gruppenverwalteter Dienstkonten (group Managed Service Accounts, gMSAs) wird eine Datei mit Anmeldeinformationen (credspec
) auf allen Knoten im Cluster platziert. Die Datei kann mithilfe einer VM-Erweiterung auf alle Knoten kopiert werden. Die Datei vom Typ credspec
muss die gMSA-Kontoinformationen enthalten. Weitere Informationen zur credspec
-Datei finden Sie unter Erstellen einer Anmeldeinformationen-Spezifikation (Dienstkonten). Die Angabe von Anmeldeinformationen und das Tag Hostname
werden im Anwendungsmanifest angegeben. Das Tag Hostname
muss dem gMSA-Kontonamen entsprechen, unter dem der Container ausgeführt wird. Durch das Tag Hostname
kann sich der Container gegenüber anderen Diensten in der Domäne mittels Kerberos-Authentifizierung authentifizieren. Der folgende Codeausschnitt zeigt ein Beispiel für die Angabe von Hostname
und credspec
im Anwendungsmanifest:
<Policies>
<ContainerHostPolicies CodePackageRef="NodeService.Code" Isolation="process" Hostname="gMSAAccountName">
<SecurityOption Value="credentialspec=file://WebApplication1.json"/>
</ContainerHostPolicies>
</Policies>
Lesen Sie als Nächstes die folgenden Artikel: