Cuando se habilita la autenticación AAA, la conmutación por recuperación parece no funcionar
Summary: La autenticación, autorización y contabilidad (AAA) se habilitó y funciona correctamente, pero la reserva local para el puerto mgmt.0 no funciona.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Activación del grupo de autenticación AAA para inicio de sesión
remoto La autenticación AAA para el protocolo ligero de acceso a directorios (LDAP) se configuró con la opción de revertir al inicio de sesión local si no se puede acceder a los servidores LDAP.
Cuando no se puede acceder a los servidores LDAP, los switches de director multicapa (MDS) no se revierten a las bases de datos locales, a pesar de que el siguiente comando está presente en las configuraciones en ejecución. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)"aaa authentication login default fallback error local"
La única excepción es MDS 9250i, que recurre a la base de datos local mientras que el servidor LDAP está inaccesible.
Este comportamiento se probó en MDS 9513 y MDS9250i con la misma versión de NX-OS (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i no tiene ningún problema y recurre a la base de datos local cuando no se puede acceder al servidor LDAP, pero otros switches MDS no lo hacen.
Este problema solo se produce cuando los switches MDS tienen una configuración de LDAP. No ocurre con las configuraciones del sistema de control de acceso de la controladora de acceso de terminales (TACACS).
Cause
Si no se puede acceder al servidor LDAP, los usuarios no pueden iniciar sesión en el switch con el nombre de usuario y la contraseña locales.
Error de Cisco CSCuy39447
https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
Resolution
Corrección permanente: Esto se corregirá en una versión de código futura.
Solución alternativa:
Esta es la solución alternativa recomendada por Cisco, pero no soluciona el problema.
Para volver al inicio de sesión local con servidores LDAP inaccesibles, se debe acceder al puerto de la consola y LDAP debe estar deshabilitado.
Inicie sesión con la contraseña de nombre de usuario local mediante la conexión de la consola.
Si aún desea asegurarse de que el switch MDS utiliza la autenticación LDAP, si puede ingresar al switch, puede eliminar ldap-search-map de "aaa group server ldap", de modo que el grupo aaa tenga un aspecto similar al siguiente:aaa group server ldap ldap_groupserver x.x.x.xno ldap-search-map
Sin ldap-search-map, el switch MDS recurre a la autenticación local si no se puede acceder al servidor LDAP.
Deshabilitar el mapa de búsqueda para que vuelva a ser local, pero cuando se pueda acceder al servidor LDAP, debe volver al acceso a la consola del switch y volver a colocar la configuración del mapa de búsqueda para que la configuración de LDAP funcione.
También puede usar el siguiente comando para lograr esto.
O
También puede usar el siguiente comando para lograr esto.
SW(config)# no aaa authentication login default group <group name>
O
SW(config)# aaa authentication login default local
Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sept 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.