Quando si abilita l'autenticazione AAA, il failback sembra non funzionare
Summary: Authentication, Authorization, and Accounting (AAA) è stato abilitato e funziona correttamente, ma il fallback locale per la porta mgmt.0 non funziona.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Attivazione del gruppo di autenticazione AAA per l'accesso
remoto L'autenticazione AAA per LDAP (Lightweight Directory Access Protocol) è stata configurata con l'opzione di fallback all'accesso locale se i server LDAP non sono raggiungibili.
Quando i server LDAP non sono raggiungibili, gli switch MDS (Multilayer Director) non tornano ai database locali anche se il seguente comando è presente nelle configurazioni in esecuzione. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)"aaa authentication login default fallback error local"
L'unica eccezione è rappresentata da MDS 9250i, che esegue il fallback nel database locale mentre il server LDAP non è raggiungibile.
Questo comportamento è stato testato in MDS 9513 e MDS9250i con la stessa versione di NX-OS (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i non presenta alcun problema e torna al database locale quando il server LDAP non è raggiungibile, ma altri switch MDS non lo fanno.
Questo problema si verifica solo quando gli switch MDS hanno una configurazione LDAP. Ciò non si verifica con le configurazioni TACACS (Terminal Access Controller Access-Control System).
Cause
Se il server LDAP non è raggiungibile, gli utenti non possono accedere allo switch utilizzando il nome utente e la password locali.
Bug Cisco CSCuy39447
https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
Resolution
Correzione permanente: Questa situazione verrà risolta in una versione futura del codice.
Soluzione alternativa:
Questa è la soluzione alternativa consigliata da Cisco, ma non risolve il problema.
Per tornare all'accesso locale con server LDAP irraggiungibili, è necessario accedere alla porta della console e disabilitare LDAP.
Accedere con la password del nome utente locale utilizzando la connessione alla console.
Se si desidera comunque assicurarsi che lo switch MDS utilizzi l'autenticazione LDAP, se è possibile accedere allo switch, è possibile rimuovere ldap-search-map da "aaa group server ldap", in modo che il gruppo aaa abbia un aspetto simile al seguente:aaa group server ldap ldap_groupserver x.x.x.xno ldap-search-map
Senza ldap-search-map, lo switch MDS esegue il fallback all'autenticazione locale se il server LDAP non è raggiungibile.
Disabilitazione della mappa di ricerca in modo che ritorni al locale ma quando il server LDAP diventa raggiungibile, è necessario tornare all'accesso alla console dello switch e ripristinare la configurazione della mappa di ricerca affinché la configurazione LDAP funzioni.
A tale scopo, è anche possibile utilizzare il comando riportato di seguito.
OPPURE
A tale scopo, è anche possibile utilizzare il comando riportato di seguito.
SW(config)# no aaa authentication login default group <group name>
OPPURE
SW(config)# aaa authentication login default local
Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sept 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.