在 Docker 容器 ASP.NET 应用程序中集成 Windows 身份验证

Posted 2023-03-30

【中文标题】在 Docker 容器 ASP.NET 应用程序中集成 Windows 身份验证

【英文标题】：Integrating Windows Authentication in Docker Container ASP.NET App

【发布时间】：2017-11-16 19:49:50

【问题描述】：

我从 microsoft/aspnet 存储库创建了一个容器。 我想在 IIS 中容器化一个 ASP.NET 4.x Web 应用程序，在该应用程序中我能够获取访问该站点的登录用户。我希望能够利用集成的 Windows 身份验证，因为这是一个内部应用程序。

我已经为容器主机创建了一个透明网络。

此外，我还在容器内的 IIS 上设置了 Windows 身份验证。我已经阅读了有关在容器主机上创建组托管服务帐户的信息，但我还没有这样做，并且不确定这是否足够，或者我必须采取进一步的步骤。

【参考方案1】：

创建组托管服务帐户 (gMSA) 只是使 Windows 身份验证与容器一起使用所需执行的步骤之一。您还需要一个 Credential Spec，其中包含有关您创建的 gMSA 的信息，容器将使用它来将 gMSA 帐户交换为应用程序的应用程序池使用的内置帐户（LocalSystem、NetworkService、ApplicationPoolIdentity）。

真的，最少的步骤是：

1) 创建一个 AD 组，您可以使用它来添加将用于托管您的容器的机器。

PS> New-ADGroup "Container Hosts" -GroupScope Global
PS> $group = Get-ADGroup "Container Hosts"
PS> $host = Get-ADComputer "mydockerhostmachine"
PS> Add-ADGroupMember $group -Members $host

2) 创建您的 gMSA 帐户以用于您的应用：

PS> New-ADServiceAccount -name myapp -DNSHostName myapp.mydomain.local -ServicePrincipalNames http/myapp.mydomain.local -PrincipalsAllowedToRetrieveManagedPassword "Container Hosts"

PrincipalsAllowedToRetrieveManagePassword 的值应该是您在步骤 1 中创建的 AD 组的名称。

3) 然后，在每个容器主机上：

一个。安装 Powershell Active Directory 模块并测试以查看您是否能够从主机使用 gMSA：

PS> Add-WindowsFeature RSAT-AD-PowerShell    
PS> Import-Module ActiveDirectory    
PS> Install-AdServiceAccount myapp    
PS> Test-AdServiceAccount myapp

b.安装凭据规范 Powershell 模块并创建凭据规范：

PS> Invoke-WebRequest https://raw.githubusercontent.com/Microsoft/Virtualization-Documentation/live/windows-server-container-tools/ServiceAccounts/CredentialSpec.psm1 -OutFile CredentialSpec.psm1
PS> Import-Module .\CredentialSpec.psm1
PS> New-CredentialSpec -Name myapp -AccountName myapp

c。现在，如果一切配置正确，您就可以使用此凭证规范运行您的容器：

docker run --security-opt "credentialspec=file://myapp.json" -d -p
80:80 -h myapp.mydomain.local [my-image-name:tag]

请记住以上内容 - 确保您在创建 gMSA 时使用的服务主体名称与容器的主机名（-h 参数）匹配。否则，如果您的应用程序使用 Windows 身份验证来访问其他域资源或服务（例如 SQL Server），您将遇到问题。此外，如果您要访问 SQL Server 等其他资源，请确保还授予 gMSA 帐户对这些服务的适当权限。

最后，在创建 Dockerfile 时，不要尝试将 gMSA 帐户直接分配给您的应用程序池。使用其中一个内置帐户，让引擎为您换出容器中的帐户。换句话说，您在 Dockerfile 中创建的应用程序池应该看起来像这样：

RUN Import-Module WebAdministration; `
    New-Item -Path IIS:\AppPools\MyAppPool; `
    Set-ItemProperty -Path IIS:\AppPools\MyAppPool -Name managedRuntimeVersion -Value 'v4.0'; `
    Set-ItemProperty -Path IIS:\AppPools\MyAppPool -Name processModel -value @identitytype='ApplicationPoolIdentity'

【讨论】：

Bart，你真的让 Windows 身份验证在 Docker 中工作了吗？

是的，我有。您确定在 Docker 映像中启用了 Windows 身份验证（并禁用匿名身份验证或其他身份验证方法）吗？

坦率地说，我希望我能给你一千票，因为这对我来说是值得的。我们终于让 Windows 身份验证在我们的 Docker 环境中正常工作。我不是主要的工作人员，因此延迟响应。我将此信息传递给其他人。他实际上已经向 Microsoft 支持部门开了一张票，这并不奇怪，一点帮助都没有。

请注意，在将容器主机添加到“容器主机”组之后，在容器主机上安装服务帐户之前，似乎需要重新启动容器主机