Lors de l’activation de l’authentification AAA, la restauration automatique ne semble pas fonctionner
Summary: L’authentification, l’autorisation et la comptabilité (AAA) a été activée et fonctionne correctement, mais le retour arrière local pour le port mgmt.0 ne fonctionne pas.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Activation du groupe d’authentification AAA pour la connexion
à distance L’authentification AAA pour le protocole LDAP (Lightweight Directory Access Protocol) a été configurée avec la possibilité de revenir à la connexion locale si les serveurs LDAP sont inaccessibles.
Lorsque les serveurs LDAP sont inaccessibles, les commutateurs directeurs multicouches (MDS) ne se rabattent pas sur les bases de données locales, même si la commande suivante est présente dans les configurations en cours d’exécution. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)"aaa authentication login default fallback error local"
La seule exception est le MDS 9250i qui se replie sur la base de données locale lorsque le serveur LDAP est inaccessible.
Ce comportement a été testé dans MDS 9513 et MDS9250i avec la même version de NX-OS (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i ne rencontre aucun problème et bascule vers la base de données locale lorsque le serveur LDAP est inaccessible, mais pas d’autres commutateurs MDS.
Ce problème se produit uniquement lorsque les commutateurs MDS disposent d’une configuration LDAP. Cela ne se produit pas avec les configurations TACACS (Terminal Access Controller Access-Control System).
Cause
Si le serveur LDAP est inaccessible, les utilisateurs ne peuvent pas se connecter au commutateur à l’aide du nom d’utilisateur et du mot de passe locaux.
Bug Cisco CSCuy39447
https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
Resolution
Correctif permanent : Ce problème sera corrigé dans une prochaine version du code.
Solution de contournement :
Il s’agit de la solution de contournement recommandée par Cisco, mais elle ne résout pas le problème.
Pour revenir à la connexion locale alors que les serveurs LDAP sont inaccessibles, vous devez accéder au port de la console et LDAP doit être désactivé.
Connectez-vous avec le mot de passe et le nom d’utilisateur local à l’aide de la connexion à la console.
Si vous souhaitez toujours vous assurer que le commutateur MDS utilise l’authentification LDAP, si vous pouvez accéder au commutateur, vous pouvez supprimer ldap-search-map de « aaa group server ldap », de sorte que le groupe aaa ressemble à ceci :aaa group server ldap ldap_groupserver x.x.x.xno ldap-search-map
Sans ldap-search-map, le commutateur MDS revient à l’authentification locale si le serveur LDAP est inaccessible.
Désactivation du mappage de recherche pour qu’il revienne au mode local, mais lorsque le serveur LDAP devient accessible, vous devez revenir à l’accès à la console du commutateur et remettre la configuration de mappage de recherche en place pour que la configuration LDAP fonctionne.
Vous pouvez également utiliser la commande ci-dessous pour y parvenir.
OU
Vous pouvez également utiliser la commande ci-dessous pour y parvenir.
SW(config)# no aaa authentication login default group <group name>
OU
SW(config)# aaa authentication login default local
Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sept 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.