소개
이 문서에서는 이 오류가 라이브 로그에 표시되는 동안 인증 중에 AD(Active Directory) 그룹 검색 문제를 해결하는 방법에 대해 설명합니다.
ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco Identity Services Engine
- Microsoft Active Directory
사용되는 구성 요소
이 문서는 ISE(Identity Services Engine)의 특정 소프트웨어 버전으로 제한되지 않습니다.
문제
문제는 ISE를 AD에 가입시키는 데 사용되는 사용자 계정에 tokenGroups를 가져올 수 있는 올바른 권한이 없다는 것입니다. 도메인 관리자 계정을 사용하여 ISE를 AD에 조인하는 경우에는 이러한 상황이 발생하지 않습니다. 이 문제를 해결하려면 사용자 계정에 ISE 노드를 추가하고 ISE 노드에 해당 권한을 제공해야 합니다.
이 문제는 사용자에 대한 사용 권한이 정확한 것 같습니다(ISE 1.3 AD 인증에 대해 확인 실패, 오류: "토큰 그룹을 가져올 권한 부족"). 이러한 디버그는 ad-agent.log에 표시됩니다.
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/auth-providers/ad-open-provider/provider-main.c:7409
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/api/api2.c:2572
솔루션
사용자 계정에 필요한 권한을 제공하려면 다음 단계를 수행하십시오.
1. AD에서 AD 사용자 계정의 등록 정보로 이동합니다.
![200780-Fix-Active-Directory-group-retrieval-iss-00.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-00.png)
2. 보안 탭을 선택하고 추가를 클릭합니다.
![200780-Fix-Active-Directory-group-retrieval-iss-01.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-01.png)
3. 객체 유형 선택:
![200780-Fix-Active-Directory-group-retrieval-iss-02.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-02.png)
4. 컴퓨터를 선택하고 확인을 클릭합니다.
![200780-Fix-Active-Directory-group-retrieval-iss-03.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-03.png)
5. ISE 호스트 이름(이 예에서는 VCHRENK-ISE4)을 삽입하고 OK(확인)를 클릭합니다.
![200780-Fix-Active-Directory-group-retrieval-iss-04.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-04.png)
6. ISE 노드를 선택하고 Advanced(고급)를 클릭합니다.
![200780-Fix-Active-Directory-group-retrieval-iss-05.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-05.png)
7. Advanced Security Settings(고급 보안 설정)에서 ISE 머신 어카운트를 선택하고 Edit(수정)를 클릭합니다.
![200780-Fix-Active-Directory-group-retrieval-iss-06.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-06.png)
8. ISE 머신 계정에 대한 권한을 제공하고 OK(확인)를 클릭합니다.
![200780-Fix-Active-Directory-group-retrieval-iss-07.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-07.png)
이러한 변경 후 AD 그룹은 문제 없이 검색해야 합니다.
![200780-Fix-Active-Directory-group-retrieval-iss-08.png](/c/dam/en/us/support/docs/security/identity-services-engine/200780-Fix-Active-Directory-group-retrieval-iss-08.png)
이 작업은 모든 사용자에 대해 수행해야 하며 변경 사항은 도메인의 모든 도메인 컨트롤러에 복제되어야 합니다.