启用 AAA 身份验证时,故障恢复似乎不起作用
Summary: 身份验证、授权和记帐 (AAA) 已启用且正常运行,但 mgmt.0 端口的本地回退不起作用。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
激活用于远程登录
的 AAA 身份验证组 轻量级目录访问协议 (LDAP) 的 AAA 身份验证设置了选项,以便在 LDAP 服务器无法访问时回退到本地登录。
当 LDAP 服务器无法访问时,即使正在运行的配置中存在以下命令,多层控制器交换机 (MDS) 也不会回退到本地数据库。MDS NX-OS 6.2(13)、6.2(13a)、6.2(13b)"aaa authentication login default fallback error local"
唯一的例外是 MDS 9250i,它会在 LDAP 服务器无法访问时回退到本地数据库。
此行为在具有相同 NX-OS 版本(MDS NX-OS 6.2(13)、6.2(13a)、6.2(13b))的 MDS 9513 和 MDS9250i 中进行了测试。
MDS 9250i 没有问题,并且在 LDAP 服务器无法访问时回退到本地数据库,但其他 MDS 交换机无法访问。
仅当 MDS 交换机具有 LDAP 配置时,才会出现此问题。在终端访问控制器访问控制系统 (TACACS) 配置中不会出现此问题。
Cause
如果无法访问 LDAP 服务器,则用户无法使用本地用户名和密码登录交换机。
Cisco 错误 CSCuy39447
https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
Resolution
永久修复:这将在未来的代码版本中修复。
解决方法:
这是 Cisco 建议的解决方法,但不能解决问题。
要在 LDAP 服务器无法访问的情况下返回到本地登录,必须访问控制台端口,并且必须禁用 LDAP。
通过控制台连接,使用本地用户名密码登录。
如果您仍想确保 MDS 交换机使用 LDAP 身份验证,如果您能进入交换机,则可以从“aaa group server ldap”中删除 ldap-search-map,这样 aaa 组如下所示:aaa group server ldap ldap_groupserver x.x.x.xno ldap-search-map
如果没有 ldap-search-map,则在无法访问 LDAP 服务器时,MDS 交换机将回滚到本地身份验证。
禁用搜索映射,以便回退到本地,但是当 LDAP 服务器变得可访问时,您必须返回到交换机的控制台访问,然后恢复搜索映射配置,才能使 LDAP 配置正常工作。
您还可以使用以下命令来完成此作。
或者
您还可以使用以下命令来完成此作。
SW(config)# no aaa authentication login default group <group name>
或者
SW(config)# aaa authentication login default local
Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sept 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.