Configurazione dell'autenticazione di Active Directory in SWA

Opzioni per il download

  • PDF     (703.2 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:29 aprile 2026
ID documento:225830

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare l'autenticazione di Active Directory in Secure Web Appliance (SWA).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

  • Amministrazione della SWA.
  • Protocolli di rete e proxy di base.
  • Amministrazione di base di Active Directory.

Cisco consiglia di installare i seguenti strumenti:

  • SWA fisico o virtuale.
  • Accesso amministrativo all'interfaccia grafica (GUI) SWA.
  • Accesso amministrativo ad Active Directory.

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Elenco di controllo

Prima di connettere SWA ad Active Directory, assicurarsi che tutti i controlli necessari siano stati completati:

Nota: In modalità trasparente, verificare che il nome host dell'appliance Web sicura corrisponda al nome host di reindirizzamento.

  • I record DNS per le interfacce SWA vengono creati in Active Directory.

  • Confrontare l'ora corrente di Secure Web Appliance con l'ora del server Active Directory e assicurarsi che la differenza non superi il valore definito nell'impostazione "Tolleranza massima per la sincronizzazione dell'orologio del computer" nel server Active Directory.

  • Confermare di disporre delle autorizzazioni e delle informazioni di dominio necessarie per aggiungere l'appliance Web sicura al dominio di Active Directory che si desidera utilizzare per l'autenticazione.

    • Creare nel server Active Directory un utente membro del gruppo Domain Admins o Account Operators.

    • In alternativa, creare un utente con le autorizzazioni minime richieste: Reimposta password, Scrittura convalidata su servicePrincipalName, Restrizioni account di scrittura, WritedNSHostName e Write servicePrincipalName. Queste autorizzazioni sono sufficienti per aggiungere l'accessorio al dominio e garantirne la piena funzionalità.

  • Assicurarsi che SWA sia in grado di risolvere l'FQDN di Active Directory.

Configurazione di Active Directory

Per configurare un proxy upstream in SWA, attenersi alla seguente procedura.

Passi

Dettagli

Passaggio 1. Raccogliere le informazioni dall'SWA

Passaggio 1.1.Dalla CLI SWA, eseguire sethostname per visualizzare il nome host SWA corrente.

Nota: Se si desidera modificare il nome host corrente, digitare il nuovo nome host e premere Invio, quindi eseguire il commit delle modifiche eseguendo il comando commit.


Passaggio 1.2. Dalla GUI SWA, passare a Rete, selezionare Interfacce, per visualizzare l'FQDN delle interfacce. per modificare l'FQDN delle interfacce correnti, fare clic su Modifica impostazioni e apportare le modifiche, quindi eseguire il commit. 
Passaggio 1.3. Dall'interfaccia grafica SWA, passare a Amministrazione sistema e fare clic su Impostazioni ora, accertarsi che le impostazioni NTP siano corrette.
Passaggio 1.4. Dalla GUI SWA, passare a Rete, selezionare DNS, accertarsi che sia definito il server DNS corretto.

Suggerimento: Se il protocollo SWA è configurato con un server DNS pubblico e si desidera definire un server DNS diverso per il dominio Active Directory, fare clic su Modifica impostazione e nella sezione Sostituzioni server DNS alternativi (facoltativa) definire il nome di dominio Active Directory e l'indirizzo IP del server DNS, quindi inviare ed eseguire il commit delle modifiche.

Image - Add Alternate DNS ServersImmagine - Aggiungi server DNS alternativi

Passaggio 2. Configurare i record DNS in Active Directory

Passaggio 2.1. Connettersi al server Active Directory e passare alla console Gestore DNS.

Passaggio 2.2. Selezionare il nome di dominio desiderato dal pannello a sinistra.

Passaggio 2.3. Nel pannello destro, fare clic con il pulsante destro del mouse e scegliere Nuovo host (A o AAAA)

Image - Create a new A RecordImmagine - Crea un nuovo record A

Passaggio 2.4. Definire il record DNS per il nome host SWA (raccolto nel passaggio 1.1)

Attenzione: Se Active Directory si connette all'SWA tramite l'interfaccia di gestione, definire l'indirizzo IP di gestione, altrimenti definire l'indirizzo IP corretto dell'SWA a cui Active Directory ha accesso (indirizzo IP dell'interfaccia P1 o indirizzo IP dell'interfaccia P2)

Passaggio 2.5. Definire il record DNS per ciascuna interfaccia SWA.

Passaggio 2.6. (Facoltativo) Se si utilizza l'alta disponibilità, definire un record DNS per l'FQDN di alta disponibilità con l'indirizzo IP virtuale definito.

 Passaggio 3. Configurare il realm di Active Directory

Passaggio 3.1. Dalla GUI SWA, passare a Rete, quindi selezionare Autenticazione.

Passaggio 3.2. Fare clic su Aggiungi realm.

Passaggio 3.3. Definire un nome di realm.

Passaggio 3.4. Dal tipo e dallo schema del server di autenticazione scegliere Active Directory.

Passaggio 3.5. Per impostazione predefinita, SWA utilizza l'interfaccia di gestione per connettersi ad Active Directory. Se si desidera modificare queste impostazioni, fare clic su Imposta interfaccia di origine e scegliere l'interfaccia desiderata. 

Passaggio 3.6. Definire il nome host o l'indirizzo IP dei controller di dominio Active Directory.

Passaggio 3.7. Immettere il nome del dominio Active Directory

Passaggio 3.8. (Facoltativo) Se si desidera archiviare l'account computer in un'unità organizzativa diversa in Active Directory, definire il percorso desiderato

Passaggio 3.9. Fare clic su Aggiungi a dominio.

Image - Add RealmImmagine - Aggiungi realm

Passaggio 3.10. Immettere il nome utente e la password e fare clic su Partecipa

Suggerimento: non includere il nome di dominio con il nome utente (ad esempio, immettere "SWA_ADMIN" anziché "DOMAIN\SWA_ADMIN" o "SWA_ADMIN@domain").

Image - SWA Joined the AD SuccessfullyImmagine - SWA è stato aggiunto ad AD

Passaggio 3.11. Invia

Passaggio 3.12. Confermare le modifiche.

Risoluzione dei problemi

warning-icon

Avviso: Lo sfasamento di orario tra WSA e il server AD è eccessivo

Questo errore indica che l'intervallo di tempo tra Active Directory e SWA non è sincronizzato. utilizzare il punto 1.3. per correggere l'ora nell'SWA

Warning: Clock skew between WSA 'Thu Apr 16 08:25:17 2026' and AD server 'Wed Apr 15 08:30:30 2026' is too great
Warning: Clock skew between WSA 'Thu Apr 16 08:25:17 2026' and AD server 'Wed Apr 15 08:30:30 2026' is too great

Impossibile risolvere swa1.*.* Errore "Nome host sconosciuto"

Questo errore indica che l'SWA non può risolvere la propria interfaccia e il nome host tramite il server DNS. Confermare che il file SWA sia configurato con il server DNS corretto (passaggio 1.4) e utilizzare il passaggio 2 per creare i record DNS mancanti.

Failure: Unable to resolve 'swa1.amojarra.amojarra' : Unknown hostname

Suggerimento: Se dopo aver corretto il server DNS o i record DNS si riceve ancora lo stesso errore, cancellare la cache DNS da GUI > Rete > DNS > Cancella cache DNS.

Impossibile risolvere ADD1.*.* : Errore "Nome host sconosciuto"

Questo errore indica che l'SWA non può risolvere i record DNS correlati ad Active Directory. Utilizzare il passaggio 1.4 per configurare il server DNS corretto per il dominio Active Directory.

Failure: Unable to resolve 'ADD1.amojarra.amojarra' : Unknown hostname

Suggerimento: se dopo aver corretto il server DNS o i record DNS si riceve ancora lo stesso errore, cancellare la cache DNS da GUI > Rete > DNS > Cancella cache DNS.

Errore durante il recupero dei ticket Kerberos dal server: "kinit: Password errata" Errore

Questo errore indica che il nome utente o la password utilizzati per la connessione ad Active Directory non sono corretti.

Failure: Error while fetching Kerberos Tickets from server '10.48.48.17' : kinit: Password incorrect

Impossibile aggiungere il computer al dominio: Impossibile creare in anticipo l'account: "Accesso insufficiente"

Questo errore indica che l'utente non dispone dei privilegi minimi necessari per creare l'account computer. verificare i privilegi utente in base alla sezione Elenco di controllo in questo articolo.

Failure: Error while joining WSA onto server '10.48.48.17' : ads_print_error: AD LDAP ERROR: 50 (Insufficient access): 00000005: SecErr: DSID-031A11E3, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 Failed to join domain: failed to precreate account in ou cn=Computers,dc=AMOJARRA,dc=AMOJARRA: Insufficient access

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
29-Apr-2026
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Amirhossein Mojarrad
    Tecnico di consulenza

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti