При включенні аутентифікації AAA зворотний збій, здається, не працює

Summary: Аутентифікація, авторизація та облік (AAA) були включені і функціонують належним чином, але локальний резервний варіант для порту mgmt.0 не працює.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Активація групи автентифікації AAA для віддаленого входу

Аутентифікація AAA для Lightweight Directory Access Protocol (LDAP) була налаштована з можливістю повернення до локального входу, якщо сервери LDAP недоступні.  

Коли сервери LDAP недоступні, багаторівневі перемикачі директорів (MDS) не повертаються до локальних баз даних, навіть якщо в запущених конфігураціях присутня наступна команда. MDS NX-OS 6.2(13), 6.2(13A), 6.2(13B)

"aaa authentication login default fallback error local"

Єдиним винятком є MDS 9250i, який повертається до локальної бази даних, тоді як сервер LDAP недоступний.

Така поведінка була протестована в MDS 9513 і MDS9250i з однаковою версією NX-OS (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i не має проблем і повертається до локальної бази даних, коли сервер LDAP недоступний, але інші комутатори MDS цього не роблять.

Ця проблема виникає лише тоді, коли комутатори MDS мають конфігурацію LDAP. Цього не відбувається в конфігураціях системи контролю доступу контролера термінального доступу (TACACS).

Cause

Якщо сервер LDAP недоступний, користувачі не можуть увійти до комутатора за допомогою локального імені користувача та пароля.

Помилка Cisco CSCuy39447

https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
 

Resolution

Постійне виправлення: Це має бути виправлено у майбутньому випуску коду.


Спосіб вирішення:
Це обхідний шлях, рекомендований Cisco, але він не вирішує проблему.
Щоб повернутися до локального входу до системи з недоступністю серверів LDAP, слід отримати доступ до порту консолі, а LDAP має бути вимкнено.

Увійдіть за допомогою локального імені користувача, пароля за допомогою консольного з'єднання.  

Якщо ви все ще хочете переконатися, що перемикач MDS використовує автентифікацію LDAP, якщо ви можете потрапити до комутатора, ви можете видалити ldap-search-map з "сервера груп aaa ldap", щоб група aaa виглядала приблизно так:

aaa group server ldap ldap_group
server x.x.x.x
no ldap-search-map

Без ldap-search-map перемикач MDS повертається до локальної автентифікації, якщо сервер LDAP недоступний.

Вимкнення карти пошуку так, щоб вона поверталася до локальної, але коли сервер LDAP стає доступним, вам слід повернутися до консольного доступу комутатора та повернути конфігурацію карти пошуку, щоб конфігурація LDAP працювала.

Ви також можете скористатися командою нижче, щоб зробити це.
 
SW(config)# no aaa authentication login default group <group name>  
 
АБО
 
SW(config)# aaa authentication login default local
 

 

Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sept 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.