Podczas włączania uwierzytelniania AAA funkcja powrotu po awarii wydaje się nie działać
Summary: Uwierzytelnianie, autoryzacja i ewidencjonowanie aktywności (AAA) zostały włączone i działają prawidłowo, ale lokalna rezerwa portu mgmt.0 nie działa.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Aktywowanie grupy uwierzytelniania AAA dla zdalnego logowania
Skonfigurowano uwierzytelnianie AAA dla protokołu LDAP (Lightweight Directory Access Protocol) z opcją powrotu do logowania lokalnego, jeśli serwery LDAP są nieosiągalne.
Gdy serwery LDAP są nieosiągalne, przełączniki Multilayer Director Switch (MDS) nie wracają do lokalnych baz danych, nawet jeśli następujące polecenie jest obecne w uruchomionych konfiguracjach. MDS NX-OS 6.2 (13), 6.2 (13 a), 6.2 (13 b)"aaa authentication login default fallback error local"
Jedynym wyjątkiem jest MDS 9250i, który wraca do lokalnej bazy danych, gdy serwer LDAP jest nieosiągalny.
To zachowanie zostało przetestowane w modelach MDS 9513 i MDS9250i z tą samą wersją systemu NX-OS (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i nie ma problemu i wraca do lokalnej bazy danych, gdy serwer LDAP jest nieosiągalny, ale inne przełączniki MDS nie.
Ten problem występuje tylko wtedy, gdy przełączniki MDS mają konfigurację LDAP. Nie występuje to w konfiguracjach systemu kontroli dostępu do kontrolera dostępu terminalowego (TACACS).
Cause
Jeśli serwer LDAP jest nieosiągalny, użytkownicy nie mogą zalogować się do przełącznika przy użyciu lokalnej nazwy użytkownika i hasła.
Błąd Cisco CSCuy39447
https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
Resolution
Trwałe rozwiązanie: Problem ten ma zostać naprawiony w przyszłej wersji kodu.
Obejście problemu:
Jest to obejście zalecane przez firmę Cisco, ale nie rozwiązuje problemu.
Aby powrócić do logowania lokalnego, gdy serwery LDAP są nieosiągalne, należy uzyskać dostęp do portu konsoli i wyłączyć protokół LDAP.
Zaloguj się przy użyciu hasła lokalnej nazwy użytkownika przy użyciu połączenia konsoli.
Jeśli nadal chcesz się upewnić, że przełącznik MDS używa uwierzytelniania LDAP, jeśli możesz dostać się do przełącznika, możesz usunąć mapę ldap-search-map z "aaa group server ldap", aby grupa aaa wyglądała mniej więcej tak:aaa group server ldap ldap_groupserver x.x.x.xno ldap-search-map
Bez ldap-search-map przełącznik MDS powraca do uwierzytelniania lokalnego, jeśli serwer LDAP jest nieosiągalny.
Wyłączenie mapy wyszukiwania, aby powróciła do lokalnej, ale gdy serwer LDAP stanie się osiągalny, należy wrócić do konsoli dostępu przełącznika i przywrócić konfigurację mapy wyszukiwania, aby konfiguracja LDAP działała.
Aby to zrobić, możesz również użyć poniższego polecenia.
LUB
Aby to zrobić, możesz również użyć poniższego polecenia.
SW(config)# no aaa authentication login default group <group name>
LUB
SW(config)# aaa authentication login default local
Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sept 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.