Når AAA-godkendelse aktiveres, ser Failback ikke ud til at fungere

Aktivering af AAA-godkendelsesgruppe til fjernlogin

AAA-godkendelse til LDAP (Lightweight Directory Access Protocol) blev indstillet med mulighed for at gå tilbage til lokal login, hvis LDAP-servere ikke kan nås.  

Når LDAP-servere ikke kan nås, går MDS (Multilayer Director Switches) ikke tilbage til lokale databaser, selvom følgende kommando findes i kørende konfigurationer. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)

"aaa authentication login default fallback error local"

Den eneste undtagelse er MDS 9250i, som går tilbage til den lokale database, mens LDAP-serveren ikke kan nås.

Denne funktionsmåde blev testet i MDS 9513 og MDS9250i med den samme NX-OS-version (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i har ingen problemer og går tilbage til den lokale database, når LDAP-serveren ikke kan nås, men andre MDS-switche ikke gør.

Dette problem opstår kun, når MDS-switche har en LDAP-konfiguration. Det forekommer ikke med TACACS-konfigurationer (Terminal Access Controller Access-Control System).

Hvis LDAP-serveren ikke kan nås, kan brugerne ikke logge ind på switchen med det lokale brugernavn og den lokale adgangskode.

Cisco-fejl CSCuy39447

https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
 

Permanent løsning: Dette vil blive rettet i en fremtidig kodeudgivelse.

Løsning:
Dette er den løsning, der anbefales af Cisco, men løser ikke problemet.
Hvis du vil gå tilbage til lokal login, hvor LDAP-servere ikke kan nås, skal konsolporten tilgås, og LDAP skal være deaktiveret.

Log på med den lokale adgangskode til brugernavn via konsolforbindelsen.  

Hvis du stadig vil sikre dig, at MDS-switchen bruger LDAP-godkendelse, kan du, hvis du kan komme ind i switchen, fjerne ldap-search-map fra "aaa group server ldap", så aaa-gruppen ser nogenlunde sådan ud:

aaa group server ldap ldap_group
server x.x.x.x
no ldap-search-map

Uden ldap-search-map går MDS-switchen tilbage til lokal godkendelse, hvis LDAP-serveren ikke kan nås.