تكوين مصادقة Active Directory في SWA

المقدمة

يصف هذا المستند الخطوات اللازمة لتكوين مصادقة Active Directory في جهاز ويب الآمن (SWA).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• أداره /سوا/.
• الشبكات الأساسية وبروتوكولات الوكيل.
• إدارة Active Directory الأساسية.

توصي Cisco بتثبيت هذه الأدوات:

• SWA المادية أو الافتراضية.

• الوصول الإداري إلى واجهة المستخدم الرسومية (GUI) ل SWA.
• الوصول الإداري إلى Active Directory.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

قائمة التحقق

قبل توصيل SWA ب Active Directory، الرجاء التأكد من إكمال كافة عمليات التحقق المطلوبة:

• يتمتع SWA بوصول شبكة مناسب إلى Active Directory. لمزيد من المعلومات يرجى التفضل بزيارة الموقع: تكوين جدار الحماية لجهاز ويب الآمن.
• يتم إنشاء سجل DNS لاسم مضيف SWA في Active Directory. (CLI > اسم المحول)

ملاحظة: في الوضع الشفاف، تأكد من تطابق اسم مضيف جهاز الويب الآمن مع اسم المضيف لإعادة التوجيه.

• يتم إنشاء سجلات DNS لواجهات SWA في Active Directory.

• قارن الوقت الحالي على Secure Web Appliance بالوقت على خادم Active Directory، وتأكد من أن الفرق لا يتجاوز القيمة المحددة في الإعداد "الحد الأقصى للسماح بمزامنة ساعة الكمبيوتر" على خادم Active Directory.

• تأكد من توفر الأذونات الضرورية ومعلومات المجال المطلوبة للانضمام إلى مجال Active Directory الذي ترغب في إستخدامه للمصادقة.

  • قم بإنشاء مستخدم على خادم Active Directory يكون عضوا في مجموعة Domain Admins أو Account Operators.

  • بدلا من ذلك، قم بإنشاء مستخدم لديه الحد الأدنى من الأذونات المطلوبة: إعادة تعيين كلمة المرور، والكتابة التي تم التحقق من صحتها إلى ServicePrincipalName، وكتابة تقييدات الحساب، وكتابة dNSHostName، وكتابة servicePrincipalName. هذه الأذونات كافية للانضمام إلى الجهاز إلى المجال وضمان تحقيق الوظائف الكاملة.

• تأكد من أن SWA يمكنها حل FQDN ل Active Directory.

تكوين Active Directory

أستخدم هذه الخطوات لتكوين وكيل تدفق في SWA.

خطوات	التفاصيل
الخطوة 1. جمع المعلومات من SWA	الخطوة 1.1. من واجهة سطر الأوامر (CLI) ل SWA، runsethostname لعرض اسم مضيف SWA الحالي. ملاحظة: إذا كنت ترغب في تغيير اسم المضيف الحالي، فاكتب اسم المضيف الجديد واضغط على مفتاح Enter، ثم قم بتنفيذ التغييرات من خلال تنفيذ الأمر commit. الخطوة 1.2. من واجهة المستخدم الرسومية SWA، انتقل إلى الشبكة، حدد الواجهات، لعرض FQDN للواجهات. إذا كنت ترغب في تغيير FQDN للواجهات الحالية، انقر فوق إعدادات التحرير وقم بإجراء التغييرات ثم الالتزام.  الخطوة 1.3. من واجهة المستخدم الرسومية (GUI) ل SWA، انتقل إلى إدارة النظام وانقر فوق إعدادات الوقت، فتأكد من صحة إعدادات NTP. الخطوة 1.4. من واجهة المستخدم الرسومية SWA، انتقل إلى الشبكة، حدد DNS، تأكد من تحديد خادم DNS الصحيح. تلميح: إذا تم تكوين SWA باستخدام خادم DNS العام وتريد تحديد خادم DNS مختلف لمجال Active Directory الخاص بك، انقر فوق إعداد تحرير وعلى قسم تجاوزات خوادم DNS البديلة (إختياري)، قم بتحديد اسم مجال Active Directory وعنوان IP لخادم DNS، ثم إرسال التغييراتوإلتزمها. الصورة - إضافة خوادم DNS بديلة
الخطوة 2. تكوين سجلات DNS في Active Directory	الخطوة 2.1. اتصل بخادم Active Directory وانتقل إلى وحدة التحكم في إدارة DNS. الخطوة 2.2. حدد اسم المجال المرغوب من اللوحة اليسرى. الخطوة 2.3. في اللوحة اليمنى، انقر بزر الماوس الأيمن واختر مضيف جديد (A أو AAA) صورة - إنشاء سجل جديد الخطوة 2.4. حدد سجل DNS لاسم مضيف SWA (يتم تجميعه في الخطوة 1.1) تحذير: إذا كان Active Directory يتصل ب SWA عبر واجهة الإدارة، حدد عنوان IP الخاص بالإدارة، وإلا فعليك تحديد عنوان IP الصحيح الخاص ب SWA الذي يمكن ل Active Directory الوصول إليه (عنوان IP للواجهة P1 أو عنوان IP للواجهة P2) الخطوة 2.5. حدد سجل DNS لكل واجهات SWA. الخطوة 2.6. (إختياري) إذا كنت تستخدم إمكانية توفر عالية، فحدد سجل DNS ل FQDN عالية التوفر باستخدام عنوان IP الظاهري المحدد.
الخطوة 3. تكوين نطاق Active Directory	الخطوة 3.1. من واجهة المستخدم الرسومية (GUI) ل SWA، انتقل إلى الشبكة، حدد المصادقة. الخطوة 3.2. انقر فوق إضافة مجال. الخطوة 3.3. حدد اسم النطاق. الخطوة 3.4. من نوع خادم المصادقة والنظام أختر خدمة Active Directory. الخطوة 3.5. بشكل افتراضي، تستخدم SWA واجهة الإدارة للاتصال ب Active Directory، إذا كنت ترغب في تغيير هذه الإعدادات، انقر فوق تعيين واجهة المصدر واختر الواجهة المطلوبة.  الخطوة 3.6. حدد اسم المضيف أو عنوان IP لوحدة (وحدات) التحكم في مجال Active Directory. الخطوة 3.7. أدخل اسم مجال Active Directory.  الخطوة 3.8. (إختياري) إذا كنت ترغب في تخزين حساب الكمبيوتر في وحدة تنظيمية مختلفة (OU) في Active Directory، فحدد الموقع المطلوب الخطوة 3.9. انقر فوق الانضمام إلى المجال. صورة - إضافة حيز الخطوة 3.10. أدخل اسم المستخدم وكلمة المرور وانقر فوق انضمام.  تلميح: لا تقم بتضمين اسم المجال باسم المستخدم (على سبيل المثال، أدخل "swa_admin" بدلا من "domain\swa_admin" أو "SWA_ADMIN@domain"). الصورة - انضمت SWA إلى الإعلان بنجاح الخطوة 3.11. إرسال الخطوة 3.12. قم بتنفيذ التغييرات.

استكشاف الأخطاء وإصلاحها

يشير هذا الخطأ إلى عدم مزامنة الوقت بين Active Directory و SWA. أستخدم الخطوة 1.3. لتصحيح الوقت على SWA

Warning: Clock skew between WSA 'Thu Apr 16 08:25:17 2026' and AD server 'Wed Apr 15 08:30:30 2026' is too great
Warning: Clock skew between WSA 'Thu Apr 16 08:25:17 2026' and AD server 'Wed Apr 15 08:30:30 2026' is too great

تعذر حل swa1.** فشل "اسم المضيف غير معروف"

يشير هذا الخطأ إلى أن SWA لا يمكنها حل الواجهة الخاصة بها واسم المضيف عبر خادم DNS. تأكد من تكوين SWA باستخدام خادم DNS الصحيح (الخطوة 1.4) وخطوة SSE رقم 2 لإنشاء سجلات DNS المفقودة.

Failure: Unable to resolve 'swa1.amojarra.amojarra' : Unknown hostname

تلميح: إذا كنت لا تزال تتلقى نفس الخطأ بعد تصحيح خادم DNS أو سجلات DNS، قم بمسح ذاكرة التخزين المؤقت ل DNS من واجهة المستخدم الرسومية > الشبكة > DNS > مسح ذاكرة التخزين المؤقت ل DNS.

يعجز أن يحل ADD1.*.* : فشل "اسم المضيف غير معروف"

يشير هذا الخطأ إلى أن SWA لا يمكنها حل سجلات DNS المتعلقة ب Active Directory. أستخدم الخطوة 1.4 لتكوين خادم DNS الصحيح لمجال Active Directory الخاص بك.

Failure: Unable to resolve 'ADD1.amojarra.amojarra' : Unknown hostname

تلميح: إذا كنت لا تزال تتلقى نفس الخطأ بعد تصحيح خادم DNS أو سجلات DNS، قم بمسح ذاكرة التخزين المؤقت ل DNS من واجهة المستخدم الرسومية > الشبكة > DNS>مسح ذاكرة التخزين المؤقت ل DNS.

حدث خطأ أثناء إحضار تذاكر Kerberos من الخادم: كينيت: فشل كلمة المرور غير صحيح

يشير هذا الخطأ إلى أن اسم المستخدم أو كلمة المرور المستخدمة للاتصال ب Active Directory غير صحيحة.

Failure: Error while fetching Kerberos Tickets from server '10.48.48.17' : kinit: Password incorrect

يتعذر الانضمام إلى المجال: فشل في إنشاء الحساب مسبقا: "وصول غير كاف"

يشير هذا الخطأ إلى افتقار المستخدم إلى الحد الأدنى من الامتيازات المطلوبة لإنشاء حساب الكمبيوتر. يرجى التحقق من امتيازات المستخدم وفقا لقسم قائمة الاختيار في هذه المقالة.

Failure: Error while joining WSA onto server '10.48.48.17' : ads_print_error: AD LDAP ERROR: 50 (Insufficient access): 00000005: SecErr: DSID-031A11E3, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 Failed to join domain: failed to precreate account in ou cn=Computers,dc=AMOJARRA,dc=AMOJARRA: Insufficient access

معلومات ذات صلة

• دليل المستخدم ل AsyncOS 15.0 لجهاز الويب الآمن من Cisco
• تكوين جدار الحماية لجهاز ويب الآمن
• تكوين فئات عنوان URL المخصصة في جهاز ويب الآمن - Cisco
• كيفية إستثناء حركة مرور Office 365 من المصادقة وفك التشفير على جهاز أمان الويب (WSA) من Cisco - Cisco
• إستخدام أفضل ممارسات جهاز الويب الآمن - Cisco
• حظر حركة المرور في جهاز ويب الآمن
• حظر حركة مرور بيانات التحميل في جهاز ويب الآمن
• منع تنزيل الملف القابل للتنفيذ في SWA
• تجاوز حركة مرور تحديثات Microsoft في جهاز ويب الآمن
• تجاوز المصادقة في جهاز الويب الآمن - Cisco

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	29-Apr-2026	الإصدار الأولي