Identity Services Engine에서 Active Directory 그룹 검색 문제 해결 ERROR_TOKEN_GROUPS_INCOMPLETE_PERMISSIONS

다운로드 옵션

  • PDF     (500.2 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (512.3 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (493.4 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2016년 10월 24일 (월)
문서 ID:200780

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 인증 중에 AD(Active Directory) 그룹 검색 문제를 해결하는 방법에 대해 설명하며 이 오류는 라이브 로그에 표시됩니다.

ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

  • Cisco Identity Services Engine
  • Microsoft Active Directory

사용되는 구성 요소

이 문서는 ISE(Identity Services Engine)의 특정 소프트웨어 버전으로 제한되지 않습니다.

문제

문제는 ISE를 AD에 조인하는 데 사용된 사용자 계정에 tokenGroups를 가져올 올바른 권한이 없다는 것입니다.ISE를 AD에 조인하는 데 도메인 관리자 계정이 사용된 경우에는 이 오류가 발생하지 않습니다.이 문제를 해결하려면 사용자 계정에 ISE 노드를 추가하고 ISE 노드에 해당 권한을 제공해야 합니다.

  • 목록 내용
  • 모든 속성 읽기
  • 읽기 권한

사용자에 대한 권한이 올바른 것처럼 보이지만 이 문제가 나타납니다(ISE 1.3 AD 인증 실패, 오류 발생:"토큰 그룹을 가져올 수 있는 권한이 없습니다.") 이러한 디버그는 ad-agent.log에 표시됩니다.

28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/auth-providers/ad-open-provider/provider-main.c:7409
28/08/2016 17:23:35,VERBOSE,140693934700288,Error code: 60173 (symbol: LW_ERROR_TOKEN_GROUPS_INSUFFICIENT_PERMISSIONS),lsass/server/api/api2.c:2572

솔루션

사용자 계정에 필요한 권한을 제공하려면 다음 단계를 수행하십시오.

1.AD에서 AD 사용자 계정 속성으로 이동합니다.

200780-Fix-Active-Directory-group-retrieval-iss-00.png

2. 보안 탭을 선택하고 추가를 클릭합니다.

200780-Fix-Active-Directory-group-retrieval-iss-01.png

3. 객체 유형 선택:

200780-Fix-Active-Directory-group-retrieval-iss-02.png

4. 컴퓨터를 선택하고 확인을 클릭합니다.

200780-Fix-Active-Directory-group-retrieval-iss-03.png

5. ISE 호스트 이름(이 예에서는 VCHRENK-ISE4)을 삽입하고 OK를 클릭합니다.

200780-Fix-Active-Directory-group-retrieval-iss-04.png

6. ISE 노드를 선택하고 Advanced(고급)를 클릭합니다.

200780-Fix-Active-Directory-group-retrieval-iss-05.png

7. 고급 보안 설정에서 ISE 머신 계정을 선택하고 편집을 클릭합니다.

200780-Fix-Active-Directory-group-retrieval-iss-06.png

8. ISE 시스템 계정에 대한 권한을 제공하고 OK(확인)를 클릭합니다.

200780-Fix-Active-Directory-group-retrieval-iss-07.png

이러한 변경 후, 문제 없이 AD 그룹을 검색해야 합니다.

200780-Fix-Active-Directory-group-retrieval-iss-08.png

이 작업은 모든 사용자에 대해 수행되어야 하며 변경 내용은 도메인의 모든 도메인 컨트롤러에 복제되어야 합니다.

TAC Authored

Cisco 엔지니어가 작성

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품