إصلاح مشكلة إسترداد مجموعة Active Directory ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS على محرك خدمات الهوية

خيارات التنزيل

  • PDF     (654.1 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (512.3 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (493.4 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٤ أكتوبر ٢٠١٦
معرّف المستند:200780

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يوضح هذا المستند كيفية حل المشكلة أثناء إسترداد مجموعة Active Directory (AD) أثناء المصادقة، بينما يتم ملاحظة هذا الخطأ في السجلات المباشرة:

ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

  • محرك خدمات الهوية من Cisco
  • Microsoft Active Directory

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج محددة من Identity Services Engine (ISE).

المشكلة

المشكلة هي أن حساب المستخدم المستخدم المستخدم للانضمام إلى ISE إلى AD ليس لديه امتيازات صحيحة للحصول على TokenGroups. ولن يحدث ذلك إذا تم إستخدام حساب Domain Admin للانضمام إلى ISE إلى AD. لحل هذه المشكلة، يجب إضافة عقدة (عقد) ISE إلى حساب المستخدم وتوفير هذه الأذونات إلى عقدة (عقد) ISE:

  • محتويات القائمة
  • قراءة كافة الخصائص
  • أذونات القراءة

رأيت هذا إصدار، رغم أن الأذونات للمستخدم تبدو صحيحة (تدقيق مقابل مصادقة ISE 1.3 AD يفشل مع خطأ: "امتياز غير كاف لجلب مجموعات الرمز المميز"). تظهر هذه الأخطاء في ad-agent.log:

28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/auth-providers/ad-open-provider/provider-main.c:7409
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/api/api2.c:2572

الحل

لتوفير الأذونات المطلوبة لحساب المستخدم، قم بتنفيذ الخطوات التالية:

1. انتقل على AD إلى خصائص حساب مستخدم AD:

200780-Fix-Active-Directory-group-retrieval-iss-00.png

2. أختر علامة تبويب تأمين وانقر فوق إضافة:

200780-Fix-Active-Directory-group-retrieval-iss-01.png

3. تحديد أنواع الكائن:

200780-Fix-Active-Directory-group-retrieval-iss-02.png

4. حدد أجهزة الكمبيوتر وانقر فوق موافق:

200780-Fix-Active-Directory-group-retrieval-iss-03.png

5. أدرج اسم المضيف ISE (VCHRENEK-ISE4 في هذا المثال) وانقر فوق OK:

200780-Fix-Active-Directory-group-retrieval-iss-04.png

6. حدد عقدة ISE وانقر فوق خيارات متقدمة:

200780-Fix-Active-Directory-group-retrieval-iss-05.png

7. من إعدادات الأمان المتقدمة، حدد حساب جهاز ISE وانقر فوق تحرير:

200780-Fix-Active-Directory-group-retrieval-iss-06.png

8. قم بتوفير هذه الأذونات لحساب جهاز ISE وانقر فوق موافق:

200780-Fix-Active-Directory-group-retrieval-iss-07.png

بعد هذه التغييرات، يجب إسترداد مجموعات AD دون أي مشاكل:

200780-Fix-Active-Directory-group-retrieval-iss-08.png

يجب تنفيذ هذا الإجراء لكافة المستخدمين ويجب نسخ التغييرات نسخا متماثلا إلى كافة وحدات التحكم بالمجال في المجال.

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
24-Oct-2016
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات