Bij het inschakelen van AAA-authenticatie lijkt failback niet te werken
Summary: Verificatie, autorisatie en boekhouding (AAA) is ingeschakeld en werkt naar behoren, maar de lokale fallback voor de mgmt.0-poort werkt niet.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
AAA-authenticatiegroep activeren voor externe aanmelding
AAA-authenticatie voor LDAP (Lightweight Directory Access Protocol) is ingesteld met de optie om terug te vallen op lokale aanmelding als LDAP-servers onbereikbaar zijn.
Wanneer LDAP-servers onbereikbaar zijn, vallen Multilayer Director Switches (MDS) niet terug op lokale databases, ook al is de volgende opdracht aanwezig in actieve configuraties. MDS NX-OS 6.2 (13), 6.2 (13a), 6.2 (13b)"aaa authentication login default fallback error local"
De enige uitzondering is de MDS 9250i, die terugvalt op de lokale database terwijl de LDAP-server onbereikbaar is.
Dit gedrag is getest in MDS 9513 en MDS9250i met dezelfde NX-OS-versie (MDS NX-OS 6.2 (13), 6.2 (13a), 6.2 (13b)).
MDS 9250i heeft geen probleem en valt terug op de lokale database wanneer de LDAP-server onbereikbaar is, maar andere MDS-switches niet.
Dit probleem doet zich alleen voor wanneer MDS-switches een LDAP-configuratie hebben. Dit komt niet voor bij configuraties van het Terminal Access Controller Access-Control System (TACACS).
Cause
Als de LDAP-server onbereikbaar is, kunnen gebruikers zich niet aanmelden bij de switch met de lokale gebruikersnaam en het lokale wachtwoord.
Cisco-bug CSCuy39447
https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
Resolution
Permanente oplossing: Dit moet worden opgelost in een toekomstige coderelease.
Tijdelijke oplossing:
Dit is de tijdelijke oplossing die wordt aanbevolen door Cisco, maar lost het probleem niet op.
Om terug te gaan naar lokale aanmelding waarbij LDAP-servers onbereikbaar zijn, moet de consolepoort worden geopend en moet LDAP worden uitgeschakeld.
Meld u aan met het lokale gebruikersnaamwachtwoord via de consoleverbinding.
Als u er nog steeds zeker van wilt zijn dat de MDS-switch LDAP-authenticatie gebruikt, kunt u, als u in de switch kunt komen, de ldap-search-map van "aaa group server ldap" verwijderen, zodat de aaa-groep er ongeveer zo uitziet:aaa group server ldap ldap_groupserver x.x.x.xno ldap-search-map
Zonder de ldap-search-map valt de MDS-switch terug op lokale authenticatie als de LDAP-server onbereikbaar is.
De zoekkaart uitschakelen zodat deze terugvalt naar lokaal, maar wanneer de LDAP-server bereikbaar wordt, moet u teruggaan naar consoletoegang van de switch en de configuratie van de zoekkaart terugzetten om de LDAP-configuratie te laten werken.
U kunt ook de onderstaande opdracht gebruiken om dit te bereiken.
OF
U kunt ook de onderstaande opdracht gebruiken om dit te bereiken.
SW(config)# no aaa authentication login default group <group name>
OF
SW(config)# aaa authentication login default local
Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sept 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.