При включении аутентификации AAA возврат к состоянию до сбоя не работает

Summary: Аутентификация, авторизация и учет (AAA) включены и работают должным образом, но локальный резервный порт mgmt.0 не работает.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Активация группы аутентификации AAA для удаленного входа

Была настроена аутентификация AAA для протокола LDAP (Lightweight Directory Access Protocol) с возможностью возврата к локальному входу, если серверы LDAP недоступны.  

Когда серверы LDAP недоступны, многоуровневые коммутаторы контроллеров (MDS) не возвращаются к локальным базам данных, даже если в запущенных конфигурациях присутствует следующая команда. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)

"aaa authentication login default fallback error local"

Единственным исключением является MDS 9250i, который возвращается к локальной базе данных, когда сервер LDAP недоступен.

Это поведение было протестировано в MDS 9513 и MDS9250i с одной и той же версией NX-OS (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i не испытывает проблем и возвращается к локальной базе данных, когда сервер LDAP недоступен, а другие коммутаторы MDS этого не делают.

Эта проблема возникает только в том случае, если коммутаторы MDS имеют конфигурацию LDAP. Это не происходит с конфигурациями системы контроля доступа контроллера доступа терминала (TACACS).

Cause

Если сервер LDAP недоступен, пользователи не могут войти в коммутатор, используя локальное имя пользователя и пароль.

Ошибка Cisco CSCuy39447

https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
 

Resolution

Окончательное решение Это будет исправлено в следующем выпуске кода.


Временное решение.
Это временное решение, рекомендованное Cisco, но оно не решает проблему.
Чтобы вернуться к локальному входу в систему, когда серверы LDAP недоступны, необходимо получить доступ к порту консоли и отключить LDAP.

Войдите в систему с локальным именем пользователя и паролем через подключение консоли.  

Если вы все еще хотите убедиться, что коммутатор MDS использует аутентификацию LDAP, если вы можете войти в коммутатор, вы можете удалить ldap-search-map из «aaa group server ldap», чтобы группа aaa выглядела примерно так:

aaa group server ldap ldap_group
server x.x.x.x
no ldap-search-map

Если сервер LDAP недоступен, коммутатор MDS возвращается к локальной проверке подлинности.

Отключив карту поиска, чтобы она возвращалась к локальной, но когда сервер LDAP станет доступным, необходимо вернуться к доступу к консоли коммутатора и вернуть конфигурацию карты поиска для работы конфигурации LDAP.

Для этого также можно использовать следующую команду.
 
SW(config)# no aaa authentication login default group <group name>  
 
ИЛИ
 
SW(config)# aaa authentication login default local
 

 

Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sept 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.