Når du aktiverer AAA-godkjenning, ser det ikke ut til at failback fungerer
Summary: Godkjenning, autorisasjon og regnskap (AAA) er aktivert og fungerer som den skal, men lokal reserveløsning for mgmt.0-porten fungerer ikke.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Aktivering av AAA-godkjenningsgruppe for ekstern pålogging
AAA-godkjenning for Lightweight Directory Access Protocol (LDAP) ble konfigurert med muligheten til å gå tilbake til lokal pålogging hvis LDAP-servere ikke kan nås.
Når LDAP-servere ikke kan nås, faller ikke Multilayer Director Switches (MDS) tilbake til lokale databaser, selv om følgende kommando finnes i konfigurasjoner som kjører. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)"aaa authentication login default fallback error local"
Det eneste unntaket er MDS 9250i, som faller tilbake til den lokale databasen mens LDAP-tjeneren ikke kan nås.
Denne virkemåten ble testet i MDS 9513 og MDS9250i med samme NX-OS-versjon (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i har ingen problemer og faller tilbake til den lokale databasen når LDAP-tjeneren ikke kan nås, men andre MDS-svitsjer ikke gjør det.
Dette problemet oppstår bare når MDS-svitsjer har en LDAP-konfigurasjon. Det oppstår ikke med TACACS-konfigurasjoner (Terminal Access Controller Access-Control System).
Cause
Hvis LDAP-tjeneren ikke kan nås, kan ikke brukerne logge på svitsjen med det lokale brukernavnet og passordet.
Cisco-feil CSCuy39447
https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
Resolution
Permanent korrigering: Dette skal rettes opp i en fremtidig kodeutgivelse.
Løsning:
Dette er løsningen som anbefales av Cisco, men løser ikke problemet.
For å gå tilbake til lokal pålogging der LDAP-tjenerne ikke kan nås, må du ha tilgang til konsollporten, og LDAP må være deaktivert.
Logg på med det lokale brukernavnpassordet ved hjelp av konsolltilkoblingen.
Hvis du fortsatt vil forsikre deg om at MDS-svitsjen bruker LDAP-autentisering, kan du fjerne ldap-search-map fra "aaa group server ldap" hvis du kan komme inn på svitsjen, slik at aaa-gruppen ser omtrent slik ut:aaa group server ldap ldap_groupserver x.x.x.xno ldap-search-map
Uten ldap-search-map faller MDS-svitsjen tilbake til lokal godkjenning hvis LDAP-tjeneren ikke kan nås.
Deaktivering av søkekartet slik at det faller tilbake til lokalt, men når LDAP-tjeneren blir tilgjengelig, må du gå tilbake til konsolltilgang til svitsjen og sette søkekartkonfigurasjonen tilbake for at LDAP-konfigurasjonen skal fungere.
Du kan også bruke kommandoen nedenfor for å oppnå dette.
ELLER
Du kan også bruke kommandoen nedenfor for å oppnå dette.
SW(config)# no aaa authentication login default group <group name>
ELLER
SW(config)# aaa authentication login default local
Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sept 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.