Zdá se, že při povolení ověřování AAA nefunguje navrácení služeb po obnovení

Summary: Funkce Ověřování, autorizace a účtování (AAA) byla povolena a funguje správně, ale místní záloha pro port mgmt.0 nefunguje.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Aktivace ověřovací skupiny AAA pro vzdálené přihlášení

Ověřování AAA pro protokol LDAP (Lightweight Directory Access Protocol) bylo nastaveno s možností vrátit se k místnímu přihlášení, pokud jsou servery LDAP nedostupné.  

Pokud jsou servery LDAP nedostupné, vícevrstvé přepínače Director (MDS) se nevrátí k místním databázím, i když je ve spuštěných konfiguracích k dispozici následující příkaz. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)

"aaa authentication login default fallback error local"

Jedinou výjimkou je MDS 9250i, který se v době, kdy je server LDAP nedostupný, vrátí do místní databáze.

Toto chování bylo testováno u MDS 9513 a MDS9250i se stejnou verzí systému NX-OS (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i nemá žádný problém a v případě, že server LDAP není dostupný, se vrátí do lokální databáze, ale jiné přepínače MDS nikoli.

K tomuto problému dochází pouze v případě, že přepínače MDS mají konfiguraci LDAP. Nevyskytuje se u konfigurací systému řízení přístupu řadiče Terminal Access Controller (TACACS).

Cause

Pokud je server LDAP nedostupný, uživatelé se nemohou přihlásit k přepínači pomocí místního uživatelského jména a hesla.

Chyba Cisco CSCuy39447

https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
 

Resolution

Trvalá oprava: To bude opraveno v budoucí verzi kódu.


Alternativní řešení:
Jedná se o zástupné řešení doporučené společností Cisco, které však problém nevyřeší.
Chcete-li se vrátit k místnímu přihlášení a servery LDAP jsou nedostupné, musí být port konzoly přístupný a protokol LDAP musí být deaktivován.

Přihlaste se pomocí místního uživatelského jména a hesla pomocí připojení konzole.  

Pokud se přesto chcete ujistit, že přepínač MDS používá ověřování LDAP, pokud se do přepínače dostanete, můžete odebrat ldap-search-map z "aaa group server ldap", takže skupina aaa bude vypadat nějak takto:

aaa group server ldap ldap_group
server x.x.x.x
no ldap-search-map

Bez příkazu ldap-search-map se přepínač MDS v případě, že server LDAP není dostupný, vrátí k místnímu ověřování.

Aby konfigurace LDAP fungovala, je třeba mapu vyhledávání zakázat tak, aby se vrátila k místnímu režimu, ale jakmile bude server LDAP dostupný.

K tomu můžete také použít níže uvedené příkazy.
 
SW(config)# no aaa authentication login default group <group name>  
 
NEBO
 
SW(config)# aaa authentication login default local
 

 

Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sept 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.