Einleitung
In diesem Dokument wird beschrieben, wie das Problem beim Abrufen von Active Directory (AD)-Gruppen während der Authentifizierung umgangen wird. Dieser Fehler wird in Live-Protokollen angezeigt:
ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Cisco Identity Services Engine
- Microsoft Active Directory
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Softwareversionen der Identity Services Engine (ISE) beschränkt.
Problem
Das Problem besteht darin, dass das Benutzerkonto, das für den Beitritt von ISE zu AD verwendet wird, nicht über die richtigen Berechtigungen zum Abrufen von Tokengruppen verfügt. Dies ist nicht der Fall, wenn das Domänenadministratorkonto verwendet wird, um der ISE für AD beizutreten. Um dieses Problem zu beheben, müssen Sie ISE-Knoten dem Benutzerkonto hinzufügen und diese Berechtigungen ISE-Knoten bereitstellen:
- Inhalt anzeigen
- Alle Eigenschaften lesen
- Leseberechtigungen
Dieses Problem tritt auf, obwohl die Berechtigungen für den Benutzer richtig zu sein scheinen (Prüfung anhand von ISE 1.3 AD-Authentifizierungen schlägt mit Fehler fehl: "Ungenügende Berechtigungen zum Abrufen von Tokengruppen"). Diese Debug-Dateien sind in der Datei ad-agent.log zu finden:
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/auth-providers/ad-open-provider/provider-main.c:7409
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/api/api2.c:2572
Lösung
Führen Sie die folgenden Schritte aus, um dem Benutzerkonto die erforderlichen Berechtigungen zuzuweisen:
1. auf AD navigieren Sie zu Eigenschaften für AD-Benutzerkonto:
2. Wählen Sie die Registerkarte "Sicherheit", und klicken Sie auf Hinzufügen:
3. Wählen Sie Objekttypen:
4. Wählen Sie Computer und klicken Sie auf OK:
5. Fügen Sie den ISE-Hostnamen ein (in diesem Beispiel VCHRENEK-ISE4), und klicken Sie auf OK:
6. Wählen Sie ISE-Knoten und klicken Sie auf Erweitert:
7. Wählen Sie in den erweiterten Sicherheitseinstellungen das ISE-Computerkonto aus, und klicken Sie auf Bearbeiten:
8. Geben Sie diese Berechtigungen für das ISE-Computerkonto an, und klicken Sie auf OK:
Nach diesen Änderungen sollten AD-Gruppen ohne Probleme abgerufen werden:
Dies muss für alle Benutzer durchgeführt werden, und die Änderungen sollten auf alle Domänencontroller in der Domäne repliziert werden.