Beheben Sie den Fehler beim Abrufen der Active Directory-Gruppe ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS auf der Identity Services Engine.

Download-Optionen

  • PDF     (650.6 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (516.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (496.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:24. Oktober 2016
Dokument-ID:200780

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, wie das Problem beim Abrufen von Active Directory (AD)-Gruppen während der Authentifizierung umgangen wird. Dieser Fehler wird in Live-Protokollen angezeigt:

ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

  • Cisco Identity Services Engine
  • Microsoft Active Directory

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Softwareversionen der Identity Services Engine (ISE) beschränkt.

Problem

Das Problem besteht darin, dass das Benutzerkonto, das für den Beitritt von ISE zu AD verwendet wird, nicht über die richtigen Berechtigungen zum Abrufen von Tokengruppen verfügt. Dies ist nicht der Fall, wenn das Domänenadministratorkonto verwendet wird, um der ISE für AD beizutreten. Um dieses Problem zu beheben, müssen Sie ISE-Knoten dem Benutzerkonto hinzufügen und diese Berechtigungen ISE-Knoten bereitstellen:

  • Inhalt anzeigen
  • Alle Eigenschaften lesen
  • Leseberechtigungen

Dieses Problem tritt auf, obwohl die Berechtigungen für den Benutzer richtig zu sein scheinen (Prüfung anhand von ISE 1.3 AD-Authentifizierungen schlägt mit Fehler fehl: "Ungenügende Berechtigungen zum Abrufen von Tokengruppen"). Diese Debug-Dateien sind in der Datei ad-agent.log zu finden:

28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/auth-providers/ad-open-provider/provider-main.c:7409
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/api/api2.c:2572

Lösung

Führen Sie die folgenden Schritte aus, um dem Benutzerkonto die erforderlichen Berechtigungen zuzuweisen:

1. auf AD navigieren Sie zu Eigenschaften für AD-Benutzerkonto:

200780-Fix-Active-Directory-group-retrieval-iss-00.png

2. Wählen Sie die Registerkarte "Sicherheit", und klicken Sie auf Hinzufügen:

200780-Fix-Active-Directory-group-retrieval-iss-01.png

3. Wählen Sie Objekttypen:

200780-Fix-Active-Directory-group-retrieval-iss-02.png

4. Wählen Sie Computer und klicken Sie auf OK:

200780-Fix-Active-Directory-group-retrieval-iss-03.png

5. Fügen Sie den ISE-Hostnamen ein (in diesem Beispiel VCHRENEK-ISE4), und klicken Sie auf OK:

200780-Fix-Active-Directory-group-retrieval-iss-04.png

6. Wählen Sie ISE-Knoten und klicken Sie auf Erweitert:

200780-Fix-Active-Directory-group-retrieval-iss-05.png

7. Wählen Sie in den erweiterten Sicherheitseinstellungen das ISE-Computerkonto aus, und klicken Sie auf Bearbeiten:

200780-Fix-Active-Directory-group-retrieval-iss-06.png

8. Geben Sie diese Berechtigungen für das ISE-Computerkonto an, und klicken Sie auf OK:

200780-Fix-Active-Directory-group-retrieval-iss-07.png

Nach diesen Änderungen sollten AD-Gruppen ohne Probleme abgerufen werden:

200780-Fix-Active-Directory-group-retrieval-iss-08.png

Dies muss für alle Benutzer durchgeführt werden, und die Änderungen sollten auf alle Domänencontroller in der Domäne repliziert werden.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
24-Oct-2016
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.