När du aktiverar AAA-autentisering verkar återställning efter fel inte fungera

Aktivera AAA-autentiseringsgrupp för fjärrinloggning

AAA-autentisering för LDAP (Lightweight Directory Access Protocol) har konfigurerats med alternativet att återgå till lokal inloggning om LDAP-servrarna inte kan nås.  

När LDAP-servrar inte kan nås återgår inte MDS (Multilayer Director Switchs) till lokala databaser även om följande kommando finns i konfigurationer som körs. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)

"aaa authentication login default fallback error local"

Det enda undantaget är MDS 9250i som återgår till den lokala databasen medan LDAP-servern inte kan nås.

Detta beteende testades i MDS 9513 och MDS9250i med samma NX-OS-version (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i har inga problem och återgår till den lokala databasen när LDAP-servern inte kan nås, men inte andra MDS-switchar.

Det här problemet uppstår bara när MDS-switchar har en LDAP-konfiguration. Det inträffar inte med TACACS-konfigurationer (Terminal Access Controller Access-Control System).

Om LDAP-servern inte kan nås kan användarna inte logga in på switchen med det lokala användarnamnet och lösenordet.

Cisco-bugg CSCuy39447

https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
 

Permanent lösning: Detta kommer att åtgärdas i en framtida kodversion.

Lösning:
Detta är den lösning som rekommenderas av Cisco men löser inte problemet.
Om du vill gå tillbaka till lokal inloggning där LDAP-servrarna inte kan nås måste konsolporten öppnas och LDAP måste avaktiveras.

Logga in med det lokala användarnamnet via konsolanslutningen.  

Om du fortfarande vill vara säker på att MDS-switchen använder LDAP-autentisering kan du, om du kan öppna switchen, ta bort ldap-search-map från "aaa group server ldap", så att aaa-gruppen ser ut ungefär så här:

aaa group server ldap ldap_group
server x.x.x.x
no ldap-search-map

Utan ldap-search-map återgår MDS-switchen till lokal autentisering om LDAP-servern inte kan nås.