При включенні аутентифікації AAA зворотний збій, здається, не працює
Summary: Аутентифікація, авторизація та облік (AAA) були включені і функціонують належним чином, але локальний резервний варіант для порту mgmt.0 не працює.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Активація групи автентифікації AAA для віддаленого входу
Аутентифікація AAA для Lightweight Directory Access Protocol (LDAP) була налаштована з можливістю повернення до локального входу, якщо сервери LDAP недоступні.
Коли сервери LDAP недоступні, багаторівневі перемикачі директорів (MDS) не повертаються до локальних баз даних, навіть якщо в запущених конфігураціях присутня наступна команда. MDS NX-OS 6.2(13), 6.2(13A), 6.2(13B)"aaa authentication login default fallback error local"
Єдиним винятком є MDS 9250i, який повертається до локальної бази даних, тоді як сервер LDAP недоступний.
Така поведінка була протестована в MDS 9513 і MDS9250i з однаковою версією NX-OS (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i не має проблем і повертається до локальної бази даних, коли сервер LDAP недоступний, але інші комутатори MDS цього не роблять.
Ця проблема виникає лише тоді, коли комутатори MDS мають конфігурацію LDAP. Цього не відбувається в конфігураціях системи контролю доступу контролера термінального доступу (TACACS).
Cause
Якщо сервер LDAP недоступний, користувачі не можуть увійти до комутатора за допомогою локального імені користувача та пароля.
Помилка Cisco CSCuy39447
https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
Resolution
Постійне виправлення: Це має бути виправлено у майбутньому випуску коду.
Спосіб вирішення:
Це обхідний шлях, рекомендований Cisco, але він не вирішує проблему.
Щоб повернутися до локального входу до системи з недоступністю серверів LDAP, слід отримати доступ до порту консолі, а LDAP має бути вимкнено.
Увійдіть за допомогою локального імені користувача, пароля за допомогою консольного з'єднання.
Якщо ви все ще хочете переконатися, що перемикач MDS використовує автентифікацію LDAP, якщо ви можете потрапити до комутатора, ви можете видалити ldap-search-map з "сервера груп aaa ldap", щоб група aaa виглядала приблизно так:aaa group server ldap ldap_groupserver x.x.x.xno ldap-search-map
Без ldap-search-map перемикач MDS повертається до локальної автентифікації, якщо сервер LDAP недоступний.
Вимкнення карти пошуку так, щоб вона поверталася до локальної, але коли сервер LDAP стає доступним, вам слід повернутися до консольного доступу комутатора та повернути конфігурацію карти пошуку, щоб конфігурація LDAP працювала.
Ви також можете скористатися командою нижче, щоб зробити це.
АБО
Ви також можете скористатися командою нижче, щоб зробити це.
SW(config)# no aaa authentication login default group <group name>
АБО
SW(config)# aaa authentication login default local
Article Properties
Article Number: 000171399
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.