Introduzione
In questo documento viene descritto come risolvere il problema relativo al recupero del gruppo di Active Directory (AD) durante l'autenticazione, mentre l'errore viene visualizzato nei log attivi:
ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Cisco Identity Services Engine
- Microsoft Active Directory
Componenti usati
Il documento può essere consultato per tutte le versioni software di Identity Services Engine (ISE).
Problema
Il problema è che l'account utente utilizzato per l'aggiunta di ISE ad AD non dispone dei privilegi corretti per ottenere tokenGroups. Ciò non si verifica se per aggiungere ISE ad AD è stato utilizzato l'account Domain Admin. Per risolvere il problema, aggiungere uno o più nodi ISE all'account utente e fornire le autorizzazioni ai nodi ISE:
- Contenuto elenco
- Leggi tutte le proprietà
- Autorizzazioni di lettura
Questo problema si verifica anche se le autorizzazioni per l'utente sembrano essere corrette (verificare se le autenticazioni di ISE 1.3 AD hanno esito negativo con un errore: "Privilegio insufficiente per recuperare i gruppi di token"). Tali debug sono riportati nel file ad-agent.log:
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/auth-providers/ad-open-provider/provider-main.c:7409
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/api/api2.c:2572
Soluzione
Per fornire le autorizzazioni necessarie per l'account utente, effettuare le seguenti operazioni:
1. in AD passare a Proprietà per l'account utente AD:
![200780-Fix-Active-Directory-group-retrieval-iss-00.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-00.png)
2. Scegliere la scheda Protezione e fare clic su Aggiungi:
![200780-Fix-Active-Directory-group-retrieval-iss-01.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-01.png)
3. Selezionare i tipi di oggetto:
![200780-Fix-Active-Directory-group-retrieval-iss-02.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-02.png)
4. Selezionare Computer e fare clic su OK:
![200780-Fix-Active-Directory-group-retrieval-iss-03.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-03.png)
5. Inserire il nome host ISE (VCHRENEK-ISE4 nell'esempio) e fare clic su OK:
![200780-Fix-Active-Directory-group-retrieval-iss-04.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-04.png)
6. Selezionare il nodo ISE e fare clic su Avanzate:
![200780-Fix-Active-Directory-group-retrieval-iss-05.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-05.png)
7. Da Advanced Security Settings selezionare ISE machine account e fare clic su Edit:
![200780-Fix-Active-Directory-group-retrieval-iss-06.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-06.png)
8. Fornire queste autorizzazioni all'account del computer ISE e fare clic su OK:
![200780-Fix-Active-Directory-group-retrieval-iss-07.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-07.png)
Dopo queste modifiche, i gruppi AD devono essere recuperati senza problemi:
![200780-Fix-Active-Directory-group-retrieval-iss-08.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-08.png)
Questa operazione deve essere eseguita per tutti gli utenti e le modifiche devono essere replicate in tutti i controller di dominio del dominio.