Kun AAA-todennus otetaan käyttöön, vikasietoisuus ei näytä toimivan

Summary: Authentication, Authorization, and Accounting (AAA) on otettu käyttöön ja se toimii oikein, mutta mgmt.0-portin paikallinen varajärjestelmä ei toimi.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

AAA-todennusryhmän aktivointi etäkirjautumista

varten AAA-todennus LDAP (Lightweight Directory Access Protocol) -protokollalle otettiin käyttöön vaihtoehdolla palata paikalliseen kirjautumiseen, jos LDAP-palvelimiin ei saada yhteyttä.  

Jos LDAP-palvelimiin ei saada yhteyttä, Multilayer Director -kytkimet (MDS) eivät käytä paikallisia tietokantoja, vaikka käynnissä olevissa kokoonpanoissa olisi seuraava komento. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)

"aaa authentication login default fallback error local"

Ainoa poikkeus on MDS 9250i, joka palaa paikalliseen tietokantaan, kun LDAP-palvelin ei ole tavoitettavissa.

Tätä toimintaa testattiin MDS 9513:ssa ja MDS9250i:ssä samalla NX-OS-versiolla (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i ei aiheuta ongelmia, ja se käyttää paikallista tietokantaa, kun LDAP-palvelin ei ole käytettävissä, mutta muut MDS-kytkimet eivät.

Tämä ongelma ilmenee vain, kun MDS-kytkimissä on LDAP-määritys. Sitä ei esiinny TACACS (Terminal Access Controller Access-Control System) -kokoonpanoissa.

Cause

Jos LDAP-palvelimeen ei saada yhteyttä, käyttäjät eivät voi kirjautua kytkimeen paikallisella käyttäjätunnuksella ja salasanalla.

Cisco-vika CSCuy39447

https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
 

Resolution

Pysyvä korjaus: Tämä on korjattava tulevassa koodiversiossa.


Tilapäisratkaisu:
Tämä on Ciscon suosittelema kiertotapa, joka ei korjaa ongelmaa.
Jos haluat palata paikalliseen kirjautumiseen LDAP-palvelimiin ei ole tavoitettavissa, konsoliporttia on käytettävä ja LDAP on poistettava käytöstä.

Kirjaudu sisään paikallisen käyttäjänimen salasanalla konsoliyhteyden kautta.  

Jos haluat edelleen varmistaa, että MDS-kytkin käyttää LDAP-todennusta, voit poistaa ldap-search-map-komennon komennosta "aaa group server ldap", jolloin aaa-ryhmä näyttää tältä:

aaa group server ldap ldap_group
server x.x.x.x
no ldap-search-map

Ilman ldap-search-mapia MDS-kytkin palaa paikalliseen autentikointiin, jos LDAP-palvelimeen ei saada yhteyttä.

Hakukartan poistaminen käytöstä, jotta se palaa paikalliseksi, mutta kun LDAP-palvelin on tavoitettavissa, sinun on palattava kytkimen konsolikäyttöön ja palautettava hakukarttamääritykset, jotta LDAP-määritys toimii.

Voit tehdä tämän myös alla olevalla komennolla.
 
SW(config)# no aaa authentication login default group <group name>  
 
TAI
 
SW(config)# aaa authentication login default local
 

 

Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sep 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.