Correggere il problema di recupero del gruppo di Active Directory ERROR_TOKEN_GROUPS_INSufficient_PERMISSIONS su Identity Services Engine

Opzioni per il download

  • PDF     (649.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (515.9 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (496.0 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:24 ottobre 2016
ID documento:200780

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come risolvere il problema relativo al recupero del gruppo di Active Directory (AD) durante l'autenticazione, mentre l'errore viene visualizzato nei log attivi:

ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

  • Cisco Identity Services Engine
  • Microsoft Active Directory

Componenti usati

Il documento può essere consultato per tutte le versioni software di Identity Services Engine (ISE).

Problema

Il problema è che l'account utente utilizzato per l'aggiunta di ISE ad AD non dispone dei privilegi corretti per ottenere tokenGroups. Ciò non si verifica se per aggiungere ISE ad AD è stato utilizzato l'account Domain Admin. Per risolvere il problema, aggiungere uno o più nodi ISE all'account utente e fornire le autorizzazioni ai nodi ISE:

  • Contenuto elenco
  • Leggi tutte le proprietà
  • Autorizzazioni di lettura

Questo problema si verifica anche se le autorizzazioni per l'utente sembrano essere corrette (verificare se le autenticazioni di ISE 1.3 AD hanno esito negativo con un errore: "Privilegio insufficiente per recuperare i gruppi di token"). Tali debug sono riportati nel file ad-agent.log:

28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/auth-providers/ad-open-provider/provider-main.c:7409
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/api/api2.c:2572

Soluzione

Per fornire le autorizzazioni necessarie per l'account utente, effettuare le seguenti operazioni:

1. in AD passare a Proprietà per l'account utente AD:

200780-Fix-Active-Directory-group-retrieval-iss-00.png

2. Scegliere la scheda Protezione e fare clic su Aggiungi:

200780-Fix-Active-Directory-group-retrieval-iss-01.png

3. Selezionare i tipi di oggetto:

200780-Fix-Active-Directory-group-retrieval-iss-02.png

4. Selezionare Computer e fare clic su OK:

200780-Fix-Active-Directory-group-retrieval-iss-03.png

5. Inserire il nome host ISE (VCHRENEK-ISE4 nell'esempio) e fare clic su OK:

200780-Fix-Active-Directory-group-retrieval-iss-04.png

6. Selezionare il nodo ISE e fare clic su Avanzate:

200780-Fix-Active-Directory-group-retrieval-iss-05.png

7. Da Advanced Security Settings selezionare ISE machine account e fare clic su Edit:

200780-Fix-Active-Directory-group-retrieval-iss-06.png

8. Fornire queste autorizzazioni all'account del computer ISE e fare clic su OK:

200780-Fix-Active-Directory-group-retrieval-iss-07.png

Dopo queste modifiche, i gruppi AD devono essere recuperati senza problemi:

200780-Fix-Active-Directory-group-retrieval-iss-08.png

Questa operazione deve essere eseguita per tutti gli utenti e le modifiche devono essere replicate in tutti i controller di dominio del dominio.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
24-Oct-2016
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti