Aracılığıyla paylaş

Bir hizmeti Active Directory kullanıcısı veya grubu olarak çalıştırma

  • Makale

Windows Server tek başına kümesinde, RunAs ilkesi kullanarak bir hizmeti Active Directory kullanıcısı veya grubu olarak çalıştırabilirsiniz. Varsayılan olarak, Service Fabric uygulamaları Fabric.exe işleminin altında çalıştığı hesap altında çalışır. Paylaşılan bir barındırılan ortamda bile farklı hesaplar altında uygulamaları çalıştırmak, bunların birbirinden daha güvenli olmasını sağlar. Bunun Microsoft Entra ID'yi değil, etki alanınızda Active Directory şirket içinde kullandığını unutmayın. Bir hizmeti grup Yönetilen Hizmet Hesabı (gMSA) olarak da çalıştırabilirsiniz.

Bir etki alanı kullanıcısı veya grubu kullanarak, etki alanındaki izin verilen diğer kaynaklara (örneğin, dosya paylaşımları) erişebilirsiniz.

Aşağıdaki örnekte, Etki alanı parolası MyCert adlı bir sertifika kullanılarak şifrelenen TestUser adlı bir Active Directory kullanıcısı gösterilmektedir. Gizli dizi şifreleme metnini oluşturmak için PowerShell komutunu kullanabilirsiniz Invoke-ServiceFabricEncryptText . Ayrıntılar için bkz . Service Fabric uygulamalarında gizli dizileri yönetme.

Bant dışı bir yöntem kullanarak parolanın şifresini yerel makineye çözmek için sertifikanın özel anahtarını dağıtmanız gerekir (Azure'da bu, Azure Resource Manager aracılığıyla yapılır). Ardından Service Fabric hizmet paketini makineye dağıttığında gizli dizinin şifresini çözebilir ve (kullanıcı adıyla birlikte) active directory ile kimlik doğrulaması gerçekleştirerek bu kimlik bilgileri altında çalışabilir.

<Principals>
  <Users>
    <User Name="TestUser" AccountType="DomainUser" AccountName="Domain\User" Password="[Put encrypted password here using MyCert certificate]" PasswordEncrypted="true" />
  </Users>
</Principals>
<Policies>
  <DefaultRunAsPolicy UserRef="TestUser" />
  <SecurityAccessPolicies>
    <SecurityAccessPolicy ResourceRef="MyCert" PrincipalRef="TestUser" GrantRights="Full" ResourceType="Certificate" />
  </SecurityAccessPolicies>
</Policies>
<Certificates>

Dekont

Bir hizmete Bir RunAs ilkesi uygularsanız ve hizmet bildirimi HTTP protokolüyle uç nokta kaynaklarını bildirirse, bir SecurityAccessPolicy de belirtmeniz gerekir. Daha fazla bilgi için bkz . HTTP ve HTTPS uç noktaları için güvenlik erişim ilkesi atama.

Sonraki adım olarak aşağıdaki makaleleri okuyun: