المقدمة
يوضح هذا المستند كيفية حل المشكلة أثناء إسترداد مجموعة Active Directory (AD) أثناء المصادقة، بينما يتم ملاحظة هذا الخطأ في السجلات المباشرة:
ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- محرك خدمات الهوية من Cisco
- Microsoft Active Directory
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج محددة من Identity Services Engine (ISE).
المشكلة
المشكلة هي أن حساب المستخدم المستخدم المستخدم للانضمام إلى ISE إلى AD ليس لديه امتيازات صحيحة للحصول على TokenGroups. ولن يحدث ذلك إذا تم إستخدام حساب Domain Admin للانضمام إلى ISE إلى AD. لحل هذه المشكلة، يجب إضافة عقدة (عقد) ISE إلى حساب المستخدم وتوفير هذه الأذونات إلى عقدة (عقد) ISE:
- محتويات القائمة
- قراءة كافة الخصائص
- أذونات القراءة
رأيت هذا إصدار، رغم أن الأذونات للمستخدم تبدو صحيحة (تدقيق مقابل مصادقة ISE 1.3 AD يفشل مع خطأ: "امتياز غير كاف لجلب مجموعات الرمز المميز"). تظهر هذه الأخطاء في ad-agent.log:
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/auth-providers/ad-open-provider/provider-main.c:7409
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/api/api2.c:2572
الحل
لتوفير الأذونات المطلوبة لحساب المستخدم، قم بتنفيذ الخطوات التالية:
1. انتقل على AD إلى خصائص حساب مستخدم AD:
2. أختر علامة تبويب تأمين وانقر فوق إضافة:
3. تحديد أنواع الكائن:
4. حدد أجهزة الكمبيوتر وانقر فوق موافق:
5. أدرج اسم المضيف ISE (VCHRENEK-ISE4 في هذا المثال) وانقر فوق OK:
6. حدد عقدة ISE وانقر فوق خيارات متقدمة:
7. من إعدادات الأمان المتقدمة، حدد حساب جهاز ISE وانقر فوق تحرير:
8. قم بتوفير هذه الأذونات لحساب جهاز ISE وانقر فوق موافق:
بعد هذه التغييرات، يجب إسترداد مجموعات AD دون أي مشاكل:
يجب تنفيذ هذا الإجراء لكافة المستخدمين ويجب نسخ التغييرات نسخا متماثلا إلى كافة وحدات التحكم بالمجال في المجال.