소개
이 문서에서는 이 오류가 라이브 로그에 표시되는 동안 인증 중에 AD(Active Directory) 그룹 검색 문제를 해결하는 방법에 대해 설명합니다.
ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco Identity Services Engine
- Microsoft Active Directory
사용되는 구성 요소
이 문서는 ISE(Identity Services Engine)의 특정 소프트웨어 버전으로 제한되지 않습니다.
문제
문제는 ISE를 AD에 가입시키는 데 사용되는 사용자 계정에 tokenGroups를 가져올 수 있는 올바른 권한이 없다는 것입니다. 도메인 관리자 계정을 사용하여 ISE를 AD에 조인하는 경우에는 이러한 상황이 발생하지 않습니다. 이 문제를 해결하려면 사용자 계정에 ISE 노드를 추가하고 ISE 노드에 해당 권한을 제공해야 합니다.
이 문제는 사용자에 대한 사용 권한이 정확한 것 같습니다(ISE 1.3 AD 인증에 대해 확인 실패, 오류: "토큰 그룹을 가져올 권한 부족"). 이러한 디버그는 ad-agent.log에 표시됩니다.
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/auth-providers/ad-open-provider/provider-main.c:7409
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/api/api2.c:2572
솔루션
사용자 계정에 필요한 권한을 제공하려면 다음 단계를 수행하십시오.
1. AD에서 AD 사용자 계정의 등록 정보로 이동합니다.
2. 보안 탭을 선택하고 추가를 클릭합니다.
3. 객체 유형 선택:
4. 컴퓨터를 선택하고 확인을 클릭합니다.
5. ISE 호스트 이름(이 예에서는 VCHRENK-ISE4)을 삽입하고 OK(확인)를 클릭합니다.
6. ISE 노드를 선택하고 Advanced(고급)를 클릭합니다.
7. Advanced Security Settings(고급 보안 설정)에서 ISE 머신 어카운트를 선택하고 Edit(수정)를 클릭합니다.
8. ISE 머신 계정에 대한 권한을 제공하고 OK(확인)를 클릭합니다.
이러한 변경 후 AD 그룹은 문제 없이 검색해야 합니다.
이 작업은 모든 사용자에 대해 수행해야 하며 변경 사항은 도메인의 모든 도메인 컨트롤러에 복제되어야 합니다.