修复身份服务引擎上的Active Directory组检索问题ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS

下载选项

PDF (712.3 KB)
在各种设备上使用 Adobe Reader 查看
ePub (507.3 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (486.6 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2016 年 10 月 24 日

文档 ID:200780

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何在身份验证期间解决Active Directory (AD)组检索问题，而实时日志中会出现此错误：

ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS

先决条件

要求

Cisco 建议您了解以下主题：

思科身份服务引擎
Microsoft Active Directory

使用的组件

本文档不限于身份服务引擎(ISE)的特定软件版本。

问题

问题是用于将ISE加入AD的用户帐户没有获取tokenGroups的正确权限。如果域管理员帐户用于将ISE加入AD，则不会发生这种情况。要解决此问题，必须将ISE节点添加到用户帐户并为ISE节点提供这些权限：

列出内容
读取所有属性
读取权限

即使用户的权限似乎正确无误(请检查ISE 1.3 AD身份验证失败并出现错误：“Insufficient Privilege to Fetch Token Groups”)，也会出现此问题。这些调试在ad-agent.log中可见：

28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/auth-providers/ad-open-provider/provider-main.c:7409
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/api/api2.c:2572