Configuración de la autenticación de Active Directory en SWA

Introducción

Este documento describe los pasos para configurar la autenticación de Active Directory en el dispositivo web seguro (SWA).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• administración SWA.
• Protocolos básicos de red y proxy.
• Administración básica de Active Directory.

Cisco recomienda tener instaladas estas herramientas:

• SWA físico o virtual.

• Acceso administrativo a la interfaz gráfica de usuario (GUI) de SWA.
• Acceso administrativo a Active Directory.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Lista de Verificación

Antes de conectar SWA a Active Directory, asegúrese de que se han completado todas las comprobaciones necesarias:

• SWA dispone de un acceso de red adecuado a Active Directory. para obtener más información, visite: Configure el firewall para el dispositivo web seguro.
• El registro DNS del nombre de host SWA se crea en Active Directory. (CLI > sethostname)

Nota: En el modo transparente, asegúrese de que el nombre de host del dispositivo web seguro coincida con el nombre de host de redirección.

• Los registros DNS para las interfaces SWA se crean en Active Directory.

• Compare la hora actual del dispositivo web seguro con la hora del servidor de Active Directory y asegúrese de que la diferencia no supere el valor definido en la configuración "Tolerancia máxima para la sincronización del reloj del equipo" del servidor de Active Directory.

• Confirme que dispone de los permisos y la información de dominio necesarios para unir el dispositivo web seguro al dominio de Active Directory que pretende utilizar para la autenticación.

  • Cree un usuario en el servidor de Active Directory que sea miembro del grupo Administradores de dominio o Operadores de cuenta.

  • También puede crear un usuario con los permisos mínimos necesarios: Restablecer contraseña, escritura validada en servicePrincipalName, restricciones de cuenta de escritura, Escribir dNSHostName y Escribir servicePrincipalName. Estos permisos son suficientes para unir el dispositivo al dominio y garantizar la funcionalidad completa.

• Asegúrese de que SWA puede resolver el FQDN de Active Directory.

Configuración de Active Directory

Utilice estos pasos para configurar un Proxy upstream en SWA.

Pasos	Detalles
Paso 1. Recopile la información de SWA	Paso 1.1.Desde SWA CLI, ejecute nombredehost para ver el nombre de host SWA actual. Nota: Si desea cambiar el nombre de host actual, escriba el nuevo nombre de host y presione Enter, luego ejecute el comando commit para confirmar los cambios. Paso 1.2. Desde la GUI de SWA, navegue hasta Red, seleccione Interfaces, para ver el FQDN de las interfaces. si desea cambiar el FQDN de las interfaces actuales, haga clic en Editar configuración y realice los cambios y luego en commit.  Paso 1.3.Desde la GUI de SWA, navegue hasta Administración del sistema y haga clic en Configuración de tiempo, asegúrese de que la configuración de NTP sea correcta. Paso 1.4. Desde la GUI de SWA, navegue hasta Red, seleccione DNS y asegúrese de que esté definido el servidor DNS correcto. Consejo: Si SWA está configurado con un servidor DNS público y desea definir un servidor DNS diferente para su dominio de Active Directory, haga clic en Edit Setting y en la sección Alternate DNS servers Overrides (Optional), defina el nombre de dominio de Active Directory y la dirección IP del servidor DNS y, a continuación, envíe y confirme los cambios. Imagen - Agregar servidores DNS alternativos
Paso 2. Configure los registros DNS en Active Directory	Paso 2.1. Conéctese al servidor de Active Directory y navegue hasta la consola de DNS Manager. Paso 2.2. Seleccione el nombre de dominio deseado en el panel izquierdo. Paso 2.3. En el panel derecho, haga clic con el botón derecho y elija Nuevo host (A o AAAA) Imagen - Crear un nuevo registro A Paso 2.4. Defina el registro DNS para el nombre de host SWA (recopilado en el paso 1.1) Precaución: Si Active Directory se está conectando al SWA a través de la interfaz de administración, defina la dirección IP de administración; de lo contrario, defina la dirección IP correcta del SWA al que Active Directory tiene acceso (dirección IP de la interfaz P1 o dirección IP de la interfaz P2) Paso 2.5. Defina el registro DNS para cada interfaz SWA. Paso 2.6. (Opcional) Si utiliza High Availability (Alta disponibilidad), defina un registro DNS para el FQDN de alta disponibilidad con la dirección IP virtual definida.
Paso 3. Configuración del rango de Active Directory	Paso 3.1. Desde la GUI de SWA, navegue hasta Red, seleccione Autenticación. Paso 3.2. Haga clic en Agregar rango. Paso 3.3. Defina un nombre de rango. Paso 3.4. Desde el Tipo de Servidor de Autenticación y Esquema(s) Elija Active Directory. Paso 3.5. De forma predeterminada, SWA utiliza la interfaz de administración para conectarse a Active Directory. Si desea cambiar esta configuración, haga clic en Set Source Interface (Establecer interfaz de origen) y elija la interfaz deseada.  Paso 3.6. Defina el nombre de host o la dirección IP de los controladores de dominio de Active Directory. Paso 3.7. Introduzca el nombre de dominio de Active Directory.  Paso 3.8. (Opcional) Si desea almacenar la cuenta de equipo en una unidad organizativa (OU) diferente en Active Directory, defina la ubicación deseada Paso 3.9. Haga clic en Unirse al dominio. Imagen - Agregar rango Paso 3.10. Introduzca el nombre de usuario y la contraseña y haga clic en Unirse.  Sugerencia: no incluya el nombre de dominio con el nombre de usuario (por ejemplo, introduzca "SWA_ADMIN" en lugar de "DOMAIN\SWA_ADMIN" o "SWA_ADMIN@domain"). Imagen: SWA se unió correctamente al AD Paso 3.11. Enviar Paso 3.12. Realice los cambios.

Resolución de problemas

Este error indica que el tiempo entre Active Directory y SWA no está sincronizado. utilice el paso 1.3. para corregir la hora en el SWA

Warning: Clock skew between WSA 'Thu Apr 16 08:25:17 2026' and AD server 'Wed Apr 15 08:30:30 2026' is too great
Warning: Clock skew between WSA 'Thu Apr 16 08:25:17 2026' and AD server 'Wed Apr 15 08:30:30 2026' is too great

No se puede resolver el error swa1.*.* "Nombre de host desconocido"

Este error indica que el SWA no puede resolver su propia interfaz y el nombre de host a través del servidor DNS. Confirme que el SWA esté configurado con el servidor DNS correcto (paso 1.4) y utilice el paso 2 para crear los registros DNS que faltan.

Failure: Unable to resolve 'swa1.amojarra.amojarra' : Unknown hostname

Consejo: Si después de corregir el servidor DNS o los registros DNS sigue recibiendo el mismo error, borre la memoria caché DNS de GUI > Network > DNS > Clear DNS Cache.

No se puede resolver ADD1.*.*: Fallo "Nombre de host desconocido"

Este error indica que SWA no puede resolver los registros DNS relacionados con Active Directory. Utilice el paso 1.4 para configurar el servidor DNS correcto para su dominio de Active Directory.

Failure: Unable to resolve 'ADD1.amojarra.amojarra' : Unknown hostname

Consejo: Si después de corregir el servidor DNS o los registros DNS sigue recibiendo el mismo error, borre la memoria caché DNS de GUI > Network > DNS > Clear DNS Cache.

Error al recuperar los tickets Kerberos del servidor: "kinit: Contraseña incorrecta" Fallo

Este error indica que el nombre de usuario o la contraseña utilizados para conectarse al directorio activo son incorrectos.

Failure: Error while fetching Kerberos Tickets from server '10.48.48.17' : kinit: Password incorrect

No se puede unir al dominio: Error al precrear la cuenta: "Acceso insuficiente"

Este error indica que el usuario carece de los privilegios mínimos necesarios para crear la cuenta de equipo. compruebe los privilegios de usuario según la sección Lista de comprobación de este artículo.

Failure: Error while joining WSA onto server '10.48.48.17' : ads_print_error: AD LDAP ERROR: 50 (Insufficient access): 00000005: SecErr: DSID-031A11E3, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 Failed to join domain: failed to precreate account in ou cn=Computers,dc=AMOJARRA,dc=AMOJARRA: Insufficient access

Información Relacionada

• Guía del usuario de AsyncOS 15.0 para Cisco Secure Web Appliance
• Configuración del firewall para el dispositivo web seguro
• Configurar categorías de URL personalizadas en el dispositivo web seguro - Cisco
• Cómo eximir el tráfico de Office 365 de la autenticación y el descifrado en Cisco Web Security Appliance (WSA): Cisco
• Uso de las prácticas recomendadas de los dispositivos web seguros: Cisco
• Bloqueo del tráfico en el dispositivo web seguro
• Bloquear la carga de tráfico en el dispositivo web seguro
• Bloquear la descarga de archivos ejecutables en SWA
• Omitir tráfico de actualizaciones de Microsoft en dispositivo web seguro
• Omitir autenticación en dispositivo web seguro - Cisco

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
1.0	29-Apr-2026	Versión inicial