Beim Aktivieren der AAA-Authentifizierung scheint Failback nicht zu funktionieren
Summary: Authentifizierung, Autorisierung und Abrechnung (AAA) wurde aktiviert und funktioniert ordnungsgemäß, aber das lokale Fallback für den Anschluss mgmt.0 funktioniert nicht.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Aktivieren der AAA-Authentifizierungsgruppe für die Remoteanmeldung
Die AAA-Authentifizierung für LDAP (Lightweight Directory Access Protocol) wurde mit der Option eingerichtet, auf die lokale Anmeldung zurückzugreifen, wenn LDAP-Server nicht erreichbar sind.
Wenn LDAP-Server nicht erreichbar sind, fallen MDS (Multilayer Director Switches) nicht auf lokale Datenbanken zurück, obwohl der folgende Befehl in ausgeführten Konfigurationen vorhanden ist. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)"aaa authentication login default fallback error local"
Die einzige Ausnahme ist der MDS 9250i, der auf die lokale Datenbank zurückfällt, während der LDAP-Server nicht erreichbar ist.
Dieses Verhalten wurde in MDS 9513 und MDS9250i mit derselben NX-OS-Version getestet (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i hat kein Problem und greift auf die lokale Datenbank zurück, wenn der LDAP-Server nicht erreichbar ist, andere MDS-Switches jedoch nicht.
Dieses Problem tritt nur auf, wenn MDS-Switches über eine LDAP-Konfiguration verfügen. Dies tritt bei TACACS-Konfigurationen (Terminal Access Controller Access-Control System) nicht auf.
Cause
Wenn der LDAP-Server nicht erreichbar ist, können sich Nutzer nicht mit dem lokalen Nutzernamen und Kennwort beim Switch anmelden.
Cisco-Fehler CSCuy39447
https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
Resolution
Dauerhafte Lösung: Dies soll in einer zukünftigen Codeversion behoben werden.
Problemumgehung:
Dies ist die von Cisco empfohlene Problemumgehung, behebt das Problem jedoch nicht.
Um zur lokalen Anmeldung zurückzukehren, wenn LDAP-Server nicht erreichbar sind, muss auf den Konsolenanschluss zugegriffen werden und LDAP muss deaktiviert sein.
Melden Sie sich über die Konsolenverbindung mit dem Kennwort für den lokalen Nutzernamen an.
Wenn Sie dennoch sicherstellen möchten, dass der MDS-Switch LDAP-Authentifizierung verwendet, wenn Sie in den Switch gelangen können, können Sie die ldap-search-map aus "aaa group server ldap" entfernen, sodass die aaa-Gruppe in etwa wie folgt aussieht:aaa group server ldap ldap_groupserver x.x.x.xno ldap-search-map
Ohne ldap-search-map greift der MDS-Switch auf die lokale Authentifizierung zurück, wenn der LDAP-Server nicht erreichbar ist.
Deaktivieren Sie die Suchzuordnung, sodass sie wieder lokal ist, aber wenn der LDAP-Server wieder erreichbar ist, müssen Sie zum Konsolenzugriff des Switches zurückkehren und die Suchzuordnungskonfiguration zurücksetzen, damit die LDAP-Konfiguration funktioniert.
Sie können dazu auch den folgenden Befehl verwenden.
ODER
Sie können dazu auch den folgenden Befehl verwenden.
SW(config)# no aaa authentication login default group <group name>
ODER
SW(config)# aaa authentication login default local
Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sept 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.