Configurar a autenticação do Ative Diretory no SWA

Opções de download

  • PDF     (704.5 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:29 de abril de 2026
ID do documento:225830

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve as etapas para Configurar a Autenticação do Ative Diretory no Secure Web Appliance (SWA).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Administração SWA.
  • Protocolos básicos de rede e proxy.
  • Administração básica do Ative Diretory.

A Cisco recomenda que você tenha estas ferramentas instaladas:

  • SWA físico ou virtual.
  • Acesso administrativo à interface gráfica do usuário (GUI) do SWA.
  • Acesso Administrativo ao Ative Diretory.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Lista de verificação

Antes de conectar o SWA ao Ative Diretory, verifique se todas as verificações necessárias foram concluídas:

Note: No modo transparente, certifique-se de que o nome de host do Secure Web Appliance corresponda ao nome de host de redirecionamento.

  • Os registros DNS das interfaces SWA são criados no Ative Diretory.

  • Compare a hora atual no Secure Web Appliance com a hora no servidor do Ative Diretory e verifique se a diferença não excede o valor definido na configuração "Tolerância máxima para sincronização do relógio do computador" no servidor do Ative Diretory.

  • Confirme se você tem as permissões e as informações de domínio necessárias para ingressar o Secure Web Appliance no domínio do Ative Diretory que você pretende usar para autenticação.

    • Crie um usuário no servidor do Ative Diretory que seja membro do grupo Administradores do Domínio ou Operadores de Conta.

    • Como alternativa, crie um usuário com as permissões mínimas necessárias: Redefinir Senha, Gravação validada em servicePrincipalName, Gravação em restrições de conta, Gravação em dNSHostName e Gravação em servicePrincipalName. Essas permissões são suficientes para associar o dispositivo ao domínio e garantir a funcionalidade total.

  • Verifique se o SWA pode resolver o FQDN do Ative Diretory.

Configuração do Ative Diretory

Use estas etapas para configurar um proxy de upstream no SWA.

Etapas

Detalhes

Etapa 1. Coletar as informações do SWA

Etapa 1.1.From SWA CLI, runsethostname para exibir o nome de host do SWA atual.

Note: Se quiser alterar o nome do host atual, digite o novo nome do host e pressione Enter, depois confirme as alterações executando o comando commit.


Etapa 1.2. Na GUI do SWA, navegue até Network, selecione Interfaces, para exibir o FQDN das interfaces. se você quiser alterar o FQDN das interfaces atuais, clique em Edit Settings e faça as alterações, em seguida, commit. 
Etapa 1.3.Na GUI do SWA, navegue até Administração do sistema e clique em Configurações de tempo. Verifique se as configurações de NTP estão corretas.
Etapa 1.4. Na GUI do SWA, navegue até Network, selecione DNS, verifique se o servidor DNS correto está definido.

Tip: Se o SWA estiver configurado com o servidor DNS público e você quiser definir um servidor DNS diferente para o domínio do Ative Diretory, clique em Editar configuração e, na seção Substituições de servidores DNS alternativos (opcional), defina o nome de domínio do Ative Diretory e o endereço IP do servidor DNS e submeta e confirme as alterações.

Image - Add Alternate DNS ServersImagem - Adicionar servidores DNS alternativos

Etapa 2. Configurar os registros DNS no Ative Diretory

Etapa 2.1. Conecte-se ao servidor do Ative Diretory e navegue até o console do DNS Manager.

Etapa 2.2. Selecione o nome de domínio desejado no painel esquerdo.

Etapa 2.3. No painel direito, clique com o botão direito do mouse e escolha New Host (A ou AAAA)

Image - Create a new A RecordImagem - Criar um novo registro A

Etapa 2.4. Definir o registro DNS para o nome de host SWA (Coletado na Etapa 1.1)

Caution: Se o Ative Diretory estiver se conectando ao SWA através da interface de gerenciamento, defina o endereço IP de gerenciamento, caso contrário, defina o endereço IP correto do SWA ao qual o Ative Diretory tem acesso (endereço IP da interface P1 ou endereço IP da interface P2)

Etapa 2.5. Definir o registro DNS para cada interface SWA.

Etapa 2.6. (Opcional) Se estiver usando Alta Disponibilidade, defina um registro DNS para o FQDN de Alta Disponibilidade com o endereço IP Virtual definido.

 Etapa 3. Configurar Domínio do Ative Diretory

Etapa 3.1. Na GUI do SWA, navegue até Network, selecione Authentication.

Etapa 3.2. Clique em Adicionar território.

Etapa 3.3. Definir um Nome de Realm.

Etapa 3.4. No Tipo e esquema(s) do servidor de autenticação, selecione Ative Diretory.

Etapa 3.5. Por padrão, o SWA usa a interface de gerenciamento para se conectar ao Ative Diretory. Se você quiser alterar essas configurações, clique em Definir interface de origem e escolha a interface desejada. 

Etapa 3.6. Defina o nome do host ou o endereço IP dos Controladores de Domínio do Ative Diretory.

Etapa 3.7. Insira o nome de domínio do Ative Diretory

Etapa 3.8. (Opcional) Se quiser armazenar a Conta do Computador em uma Unidade Organizacional (UO) diferente no Ative Diretory, defina o local desejado

Etapa 3.9. Clique em Ingressar no Domínio.

Image - Add RealmImagem - Adicionar território

Etapa 3.10. Insira o Nome de usuário e a Senha e clique em Ingressar

Dica: não inclua o nome de domínio com o nome de usuário (por exemplo, digite "SWA_ADMIN" em vez de "DOMAIN\SWA_ADMIN" ou "SWA_ADMIN@domain").

Image - SWA Joined the AD SuccessfullyImagem - SWA ingressou no AD com êxito

Etapa 3.11. Enviar

Etapa 3.12. Confirme as alterações.

Troubleshooting

warning-icon

aviso: O desvio de relógio entre o servidor WSA e AD é muito grande

Este erro indica que o tempo entre o Ative Diretory e o SWA não está sincronizado. use a Etapa 1.3. para corrigir a hora no SWA

Warning: Clock skew between WSA 'Thu Apr 16 08:25:17 2026' and AD server 'Wed Apr 15 08:30:30 2026' is too great
Warning: Clock skew between WSA 'Thu Apr 16 08:25:17 2026' and AD server 'Wed Apr 15 08:30:30 2026' is too great

Não é possível resolver swa1.*.* Falha de "nome de host desconhecido"

Esse erro indica que o SWA não pode resolver sua própria interface e o nome do host através do servidor DNS. Confirme se o SWA está configurado com o servidor DNS correto (Etapa 1.4) e veja a Etapa 2 para criar os registros DNS ausentes.

Failure: Unable to resolve 'swa1.amojarra.amojarra' : Unknown hostname

Tip: Se, após corrigir o servidor DNS ou os registros DNS, você ainda estiver recebendo o mesmo erro, limpe o cache DNS de GUI > Rede > DNS > Limpar cache DNS.

Não é possível resolver ADD1.*.*: Falha de "nome de host desconhecido"

Este erro indica que o SWA não pode resolver os registros DNS relacionados ao Ative Diretory. Use a Etapa 1.4 para configurar o servidor DNS correto para seu domínio do Ative Diretory.

Failure: Unable to resolve 'ADD1.amojarra.amojarra' : Unknown hostname

Dica: se após corrigir o servidor DNS ou os registros DNS você ainda estiver recebendo o mesmo erro, limpe o cache DNS da GUI > Rede > DNS > Limpar cache DNS.

Erro ao buscar tíquetes Kerberos do servidor: "kinit: Senha incorreta" Falha

Este erro indica que o nome de usuário ou a senha usados para conexão com o Ative Diretory estão incorretos.

Failure: Error while fetching Kerberos Tickets from server '10.48.48.17' : kinit: Password incorrect

Não é possível ingressar no domínio: Falha ao Recriar Conta: "Acesso insuficiente"

Este erro indica que o usuário não tem os privilégios mínimos necessários para criar a conta do computador. verifique os privilégios do usuário de acordo com a seção Lista de verificação deste artigo.

Failure: Error while joining WSA onto server '10.48.48.17' : ads_print_error: AD LDAP ERROR: 50 (Insufficient access): 00000005: SecErr: DSID-031A11E3, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 Failed to join domain: failed to precreate account in ou cn=Computers,dc=AMOJARRA,dc=AMOJARRA: Insufficient access

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
29-Apr-2026
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Amirhossein Mojarrad
    Engenheiro de consultoria técnica

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos