Active Directory-verificatie configureren in SWA

Downloadopties

  • PDF     (703.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (508.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (439.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:29 april 2026
Document-id:225830

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft de stappen voor het configureren van Active Directory-verificatie in Secure Web Appliance (SWA).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • SWA-beheer.
  • Basisprotocollen voor netwerken en proxy's.
  • Basis Active Directory-beheer.

Cisco raadt u aan deze hulpprogramma's te installeren:

  • Fysieke of virtuele SWA.
  • Administratieve toegang tot de grafische gebruikersinterface (GUI) van SWA.
  • Toegang tot de Active Directory.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Checklist

Voordat u SWA verbindt met Active Directory, moet u controleren of alle vereiste controles zijn uitgevoerd:

Opmerking: zorg er in de transparante modus voor dat de hostnaam van de Secure Web Appliance overeenkomt met de hostnaam voor omleiden.

  • DNS-records voor SWA-interfaces worden gemaakt in de Active Directory.

  • Vergelijk de huidige tijd op de Secure Web Appliance met de tijd op de Active Directory-server en zorg ervoor dat het verschil niet groter is dan de waarde die is gedefinieerd in de instelling "Maximale tolerantie voor kloksynchronisatie van de computer" op de Active Directory-server.

  • Bevestig dat u over de benodigde machtigingen en domeingegevens beschikt om u aan te melden bij de Secure Web Appliance voor het Active Directory-domein dat u wilt gebruiken voor verificatie.

    • Maak een gebruiker aan op de Active Directory-server die lid is van de groep Domeinbeheerders of Accountbeheerders.

    • U kunt ook een gebruiker maken met de minimaal vereiste machtigingen: Wachtwoord opnieuw instellen, Gevalideerd schrijven naar servicePrincipalName, accountbeperkingen schrijven, Write dNSHostName en Write servicePrincipalName. Deze machtigingen zijn voldoende om het toestel aan het domein toe te voegen en de volledige functionaliteit te garanderen.

  • Zorg ervoor dat SWA de Active Directory FQDN kan oplossen.

De Active Directory configureren

Gebruik deze stappen om een upstream-proxy in SWA te configureren.

Stappen

Details

Stap 1. Verzamel de informatie van SWA

Stap 1.1.Van SWA CLI, runsethostname om de huidige SWA-hostnaam te bekijken.

Opmerking: Als u de huidige hostnaam wilt wijzigen, typt u de nieuwe hostnaam en drukt u op Enter en legt u vervolgens wijzigingen vast door de opdracht commit uit te voeren.


Stap 1.2. Navigeer vanuit de SWA GUI naar Netwerk, selecteer Interfaces, om de FQDN-interfaces te bekijken. Als u de huidige FQDN-interfaces wilt wijzigen, klikt u op Instellingen bewerken en voert u de wijzigingen in opdracht uit. 
Stap 1.3.Vanuit de SWA GUI, navigeer naar Systeembeheer en klik op Tijdinstellingen, zorg ervoor dat de NTP-instellingen correct zijn.
Stap 1.4. Navigeer vanuit SWA GUI naar Netwerk, selecteer DNS, zorg ervoor dat de juiste DNS-server is gedefinieerd.

Tip: Als SWA is geconfigureerd met een openbare DNS-server en u wilt een andere DNS-server definiëren voor uw Active Directory-domein, klikt u op Instelling bewerken en selecteert u in de sectie Alternatieve DNS-servers overschrijvingen (optioneel) de Active Directory-domeinnaam en het IP-adres van de DNS-server, dient u wijzigingen in en legt u deze vast.

Image - Add Alternate DNS ServersAfbeelding - Alternatieve DNS-servers toevoegen

Stap 2. De DNS-records configureren in Active Directory

Stap 2.1. Maak verbinding met uw Active Directory-server en navigeer naar de DNS Manager-console.

Stap 2.2. Selecteer de gewenste domeinnaam in het linkerdeelvenster.

Stap 2.3. Klik met de rechtermuisknop in het rechterdeelvenster en kies Nieuwe host (A of AAAA)

Image - Create a new A RecordAfbeelding - Een nieuw A-record maken

Stap 2.4. Het DNS-record definiëren voor de SWA-hostnaam (verzameld in stap 1.1)

Waarschuwing: Als de Active Directory via de beheerinterface verbinding maakt met de SWA, definieert u het IP-adres voor beheer, anders definieert u het juiste IP-adres van de SWA waartoe Active Directory toegang heeft (IP-adres voor P1-interface of IP-adres voor P2-interface)

Stap 2.5. Definieer het DNS-record voor elke SWA-interface.

Stap 2.6. (Optioneel) Als u High Availability gebruikt, definieert u een DNS-record voor de FQDN met hoge beschikbaarheid met het gedefinieerde virtuele IP-adres.

 Stap 3. Active Directory Realm configureren

Stap 3.1. Navigeer vanuit de SWA GUI naar Netwerk, selecteer Verificatie.

Stap 3.2. Klik op Rijk toevoegen.

Stap 3.3. Definieer een domeinnaam.

Stap 3.4. Kies Active Directory uit het type en schema(s) van de verificatieserver.

Stap 3.5. Standaard gebruikt SWA de beheerinterface om verbinding te maken met de Active Directory. Als u deze instellingen wilt wijzigen, klikt u op Broninterface instellen en kiest u de gewenste interface

Stap 3.6. Definieer de hostnaam of het IP-adres van de Active Directory Domain Controller(s).

Stap 3.7. Voer de naam van het Active Directory-domein in

Stap 3.8. (Optioneel) Als u de computeraccount wilt opslaan in een andere organisatie-eenheid (OU) in de Active Directory, moet u de gewenste locatie definiëren

Stap 3.9. Klik op Domein aanmelden.

Image - Add RealmAfbeelding - Realm toevoegen

Stap 3.10. Voer de gebruikersnaam en het wachtwoord in en klik op Deelnemen

Tip: Vermeld de domeinnaam niet bij de gebruikersnaam (voer bijvoorbeeld "SWA_ADMIN" in in plaats van "DOMAIN\SWA_ADMIN" of "SWA_ADMIN@domain").

Image - SWA Joined the AD SuccessfullyAfbeelding - SWA is met succes aan het AD toegevoegd

Stap 3.11. voorleggen

Stap 3.12. Verbind de veranderingen.

Probleemoplossing

warning-icon

Waarschuwing: de scheve klok tussen WSA- en AD-server is te groot

Deze fout geeft aan dat de tijd tussen de Active Directory en de SWA niet is gesynchroniseerd. Gebruik stap 1.3 om de tijd op de SWA te corrigeren

Warning: Clock skew between WSA 'Thu Apr 16 08:25:17 2026' and AD server 'Wed Apr 15 08:30:30 2026' is too great
Warning: Clock skew between WSA 'Thu Apr 16 08:25:17 2026' and AD server 'Wed Apr 15 08:30:30 2026' is too great

SWA1 kan niet worden opgelost.*. * Fout met onbekende hostnaam

Deze fout geeft aan dat de SWA zijn eigen interface en de hostnaam niet via de DNS-server kan oplossen. Bevestig dat de SWA is geconfigureerd met de juiste DNS-server (stap 1.4) en zie stap 2 om de ontbrekende DNS-records te maken.

Failure: Unable to resolve 'swa1.amojarra.amojarra' : Unknown hostname

Tip: Als u na het corrigeren van de DNS-server of DNS-records nog steeds dezelfde fout ontvangt, wist u de DNS-cache van GUI > Netwerk > DNS > DNS-cache wissen.

ADD1 kan niet worden opgelost.*.*: "Unknown hostname"-fout

Deze fout geeft aan dat de SWA de DNS-records met betrekking tot de Active Directory niet kan oplossen. Gebruik stap 1.4 om de juiste DNS-server voor uw Active Directory-domein te configureren.

Failure: Unable to resolve 'ADD1.amojarra.amojarra' : Unknown hostname

Tip: Als u na het corrigeren van de DNS-server of DNS-records nog steeds dezelfde fout ontvangt, wist u de DNS-cache van GUI > Netwerk > DNS > DNS-cache wissen.

Fout bij ophalen van Kerberos-tickets van server: "kinit: wachtwoord incorrect" Fout

Deze fout geeft aan dat de gebruikersnaam of het wachtwoord dat is gebruikt om verbinding te maken met de Active Directory onjuist is.

Failure: Error while fetching Kerberos Tickets from server '10.48.48.17' : kinit: Password incorrect

Kan niet deelnemen aan domein: account niet vooraf gemaakt: "onvoldoende toegang"

Deze fout geeft aan dat de gebruiker niet over de minimaal vereiste rechten beschikt om de computeraccount aan te maken. Controleer de gebruikersrechten volgens de sectie Checklist in dit artikel.

Failure: Error while joining WSA onto server '10.48.48.17' : ads_print_error: AD LDAP ERROR: 50 (Insufficient access): 00000005: SecErr: DSID-031A11E3, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 Failed to join domain: failed to precreate account in ou cn=Computers,dc=AMOJARRA,dc=AMOJARRA: Insufficient access

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
29-Apr-2026
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Amirhossein Mojarrad
    technisch adviseur

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten