Ao habilitar a autenticação AAA, o failback parece não funcionar

Summary: A Autenticação, Autorização e Contabilidade (AAA) foi habilitada e funciona corretamente, mas o fallback local para a porta mgmt.0 não está funcionando.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Ativando o grupo de autenticação AAA para login

remoto A autenticação AAA para LDAP (Lightweight Directory Access Protocol) foi configurada com a opção de retornar ao log-in local se os servidores LDAP estiverem inacessíveis.  

Quando os servidores LDAP estão inacessíveis, os Multilayer Director Switches (MDS) não retornam aos bancos de dados locais, mesmo que o seguinte comando esteja presente nas configurações em execução. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)

"aaa authentication login default fallback error local"

A única exceção é o MDS 9250i, que retorna para o banco de dados local enquanto o servidor LDAP está inacessível.

Esse comportamento foi testado no MDS 9513 e MDS9250i com a mesma versão do NX-OS (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
O MDS 9250i não tem nenhum problema e retorna para o banco de dados local quando o servidor LDAP está inacessível, mas outros switches MDS não.

Esse problema ocorre somente quando os switches MDS têm uma configuração LDAP. Isso não ocorre com configurações TACACS (Terminal Access Controller Access-Control System).

Cause

Se o servidor LDAP não estiver acessível, os usuários não poderão fazer log-in no switch usando o nome de usuário e a senha locais.

Bug da Cisco CSCuy39447

https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
 

Resolution

Correção permanente: Isso deve ser corrigido em uma versão futura do código.


Solução temporária:
Esta é a solução temporária recomendada pela Cisco, mas não corrige o problema.
Para voltar ao log-in local com servidores LDAP inacessíveis, a porta do console deve ser acessada e o LDAP deve ser desativado.

Faça log-in com a senha do nome de usuário local usando a conexão do console.  

Se você ainda quiser ter certeza de que o switch MDS usa autenticação LDAP, se você puder entrar no switch, poderá remover o ldap-search-map do "aaa group server ldap", para que o grupo aaa seja parecido com:

aaa group server ldap ldap_group
server x.x.x.x
no ldap-search-map

Sem o ldap-search-map, o switch MDS retornará para a autenticação local se o servidor LDAP estiver inacessível.

Desativando o mapa de pesquisa para que ele volte para local, mas quando o servidor LDAP ficar acessível, você deverá voltar ao console de acesso do switch e colocar a configuração do mapa de pesquisa de volta para que a configuração LDAP funcione.

Você também pode usar o comando abaixo para fazer isso.
 
SW(config)# no aaa authentication login default group <group name>  
 
OU
 
SW(config)# aaa authentication login default local
 

 

Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sept 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.