تشغيل خدمة كمستخدم أو مجموعة في Active Directory
في مجموعة Windows Server المستقلة، يمكنك تشغيل خدمة كمستخدم أو مجموعة Active Directory باستخدام سياسة RunAs. افتراضياً، يتم تشغيل تطبيقات نسيج الخدمة ضمن الحساب الذي تعمل فيه عملية Fabric.exe. إن تشغيل التطبيقات تحت حسابات مختلفة، حتى في بيئة مستضافة مشتركة، يجعلها أكثر أمانًا من بعضها البعض. لاحظ أن هذا يستخدم Active Directory داخل نطاقك وليس Azure Active Directory (Azure AD). يمكنك أيضًا تشغيل خدمة حساب الخدمة المدار للمجموعة (gMSA).
باستخدام مستخدم نطاق أو مجموعة، يمكنك بعد ذلك الوصول إلى موارد أخرى في النطاق (على سبيل المثال، مشاركات الملفات) التي تم منحها أذونات.
يوضح المثال التالي مستخدم Active Directory يسمى TestUser مع تشفير كلمة مرور نطاقه باستخدام شهادة تسمى MyCert. يمكنك استخدام أمر Invoke-ServiceFabricEncryptText PowerShell لإنشاء نص التشفير السري. راجع إدارة الأسرار في تطبيقات نسيج الخدمة للحصول على التفاصيل.
يجب نشر المفتاح الخاص للشهادة لفك تشفير كلمة المرور إلى الجهاز المحلي باستخدام طريقة خارج النطاق (في Azure، هذا عبر Azure Resource Manager). بعد ذلك، عندما يقوم نسيج الخدمة بنشر حزمة الخدمة على الجهاز، فإنه قادر على فك تشفير السر و (جنبا إلى جنب مع اسم المستخدم) المصادقة باستخدام Active Directory لتشغيله ضمن بيانات الاعتماد هذه.
<Principals>
<Users>
<User Name="TestUser" AccountType="DomainUser" AccountName="Domain\User" Password="[Put encrypted password here using MyCert certificate]" PasswordEncrypted="true" />
</Users>
</Principals>
<Policies>
<DefaultRunAsPolicy UserRef="TestUser" />
<SecurityAccessPolicies>
<SecurityAccessPolicy ResourceRef="MyCert" PrincipalRef="TestUser" GrantRights="Full" ResourceType="Certificate" />
</SecurityAccessPolicies>
</Policies>
<Certificates>
ملاحظة
إذا قمت بتطبيق سياسة RunAs على إحدى الخدمات وصرح بيان الخدمة بموارد نقطة النهاية مع بروتوكول HTTP، فيجب عليك أيضًا تحديد سياسة الوصول إلى الأمان . لمزيد من المعلومات، راجع تعيين نهج وصول أمان لنقاط نهاية HTTP وHTTPS.
كخطوة تالية، اقرأ المقالات التالية: