المقدمة
يصف هذا المستند فشل مصادقة محرك خدمات الهوية (ISE) في مقابل Active Directory (AD) بسبب رمز الخطأ "24371" الناتج عن عدم كفاية امتيازات حساب جهاز ISE.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة أساسية بالمواضيع التالية:
- تكوين ISE واستكشاف أخطائه وإصلاحها
- Microsoft AD
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- ISE الإصدار 1.3.0.876
- Microsoft AD الإصدار 2008 R2
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
فشلت مصادقة AD بسبب خطأ "24371"
في ISE 1.3 وأعلى، يمكن أن تفشل المصادقة مقابل AD مع حدوث خطأ "24371". يحتوي تقرير المصادقة التفصيلي للفشل على خطوات مماثلة لتلك الموضحة هنا:
15036 Evaluating Authorization Policy
24432 Looking up user in Active Directory - CISCO_LAB
24371 The ISE machine account does not have the required privileges to fetch groups. - ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS
24371 The ISE machine account does not have the required privileges to fetch groups. - CISCO_LAB
15048 Queried PIP - CISCO_LAB.ExternalGroups
تظهر حالة AD منضمة ومتصلة وتم إضافة مجموعات AD المطلوبة بشكل صحيح في تكوين ISE.
الحل
تعديل أذونات حساب جهاز ISE على AD
يشير الخطأ في تقرير المصادقة التفصيلي إلى أن حساب الجهاز الخاص ب ISE على Active Directory، ليس لديه امتيازات كافية لجلب مجموعات الرمز المميز.
ملاحظة: يتم تنفيذ الإصلاح على جانب AD نظرا لأنه غير قادر على منح الامتياز الصحيح لحساب جهاز ISE. قد تحتاج إلى قطع اتصال ISE ب AD/إعادة توصيله بعد ذلك.
يمكن التحقق من الامتيازات الحالية لحساب الجهاز باستخدام أمر dsacls كما هو موضح في هذا المثال:
Open a command prompt on your AD with administrator privilege.
The dsquery command can be used to find the Fully Qualified Domain Name (FQDN) of the ISE.
C:\Users\admin> dsquery computer -name lab-ise1 //here lab-ise1 is the hostname of the ISE
"CN=lab-ise1,CN=Computers,DC=ciscolab,DC=local"
The dsacls command can now be used to find the privileges assigned to the machine account
C:\Windows\system32> dsacls "CN=lab-ise1,CN=Computers,DC=ciscolab,DC=local" >> C:\dsacl_output.txt
الإخراج طويل وبالتالي تتم إعادة توجيهه إلى ملف نصي dsacl_output.txt يمكن بعد ذلك فتحه وعرضه بشكل صحيح في محرر النصوص، مثل Notepad.
إذا كان الحساب لديه أذونات لقراءة مجموعات الرموز المميزة، فسيكون لديه الإدخالات التالية في ملف dsacl_output.txt:
Inherited to user
Allow NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS
SPECIAL ACCESS for tokenGroups <Inherited from parent>
READ PROPERTY
Inherited to group
Allow NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS
SPECIAL ACCESS for tokenGroups <Inherited from parent>
READ PROPERTY
إذا لم تكن الأذونات موجودة، فيمكن إضافتها باستخدام هذا الأمر:
C:\Windows\system32>dsacls "CN=Computers,DC=ciscolab,DC=local" /I:T /G "lab-ise1$":rp;tokenGroups
إذا لم تكن FQDN أو المجموعة الدقيقة معروفة، يمكن تشغيل هذا الأمر بسرعة للمجال أو الوحدة التنظيمية (OU) وفقا لهذه الأوامر:
C:\Windows\system32>dsacls "DC=ciscolab,DC=local" /I:T /G "lab-ise1$":rp;tokenGroups
C:\Windows\system32>dsacls "OU=ExampleOU,DC=ciscolab,DC=local" /I:T /G "lab-ise1$":rp;tokenGroups
تبحث الأوامر عن Host lab-ise1 في المجال بأكمله أو OU على التوالي.
تذكر إستبدال تفاصيل المجموعة واسم المضيف في الأوامر باستخدام المجموعة المقابلة واسم ISE من عملية النشر الخاصة بك. يمنح هذا الأمر حساب جهاز ISE امتياز قراءة مجموعات الرموز المميزة. يجب تشغيله على وحدة تحكم مجال واحدة فقط ويجب إجراء النسخ المتماثل على وحدات التحكم الأخرى تلقائيا.
يمكن حل المشكلة على الفور. قم بتشغيل الأمر على وحدة التحكم بالمجال المتصلة حاليا على ISE.
لعرض وحدة التحكم بالمجال الحالية، انتقل إلى إدارة > إدارة الهوية > مصادر الهوية الخارجية > Active Directory > تحديد نقطة ربط AD.
معلومات ذات صلة
التعليقات