Beim Aktivieren der AAA-Authentifizierung scheint Failback nicht zu funktionieren

Summary: Authentifizierung, Autorisierung und Abrechnung (AAA) wurde aktiviert und funktioniert ordnungsgemäß, aber das lokale Fallback für den Anschluss mgmt.0 funktioniert nicht.

Acest articol se aplică pentru Acest articol nu se aplică pentru Acest articol nu este legat de un produs specific. Acest articol nu acoperă toate versiunile de produs existente.
Consultați alte resurse

Symptoms

Aktivieren der AAA-Authentifizierungsgruppe für die Remoteanmeldung

Die AAA-Authentifizierung für LDAP (Lightweight Directory Access Protocol) wurde mit der Option eingerichtet, auf die lokale Anmeldung zurückzugreifen, wenn LDAP-Server nicht erreichbar sind.  

Wenn LDAP-Server nicht erreichbar sind, fallen MDS (Multilayer Director Switches) nicht auf lokale Datenbanken zurück, obwohl der folgende Befehl in ausgeführten Konfigurationen vorhanden ist. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)

"aaa authentication login default fallback error local"

Die einzige Ausnahme ist der MDS 9250i, der auf die lokale Datenbank zurückfällt, während der LDAP-Server nicht erreichbar ist.

Dieses Verhalten wurde in MDS 9513 und MDS9250i mit derselben NX-OS-Version getestet (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i hat kein Problem und greift auf die lokale Datenbank zurück, wenn der LDAP-Server nicht erreichbar ist, andere MDS-Switches jedoch nicht.

Dieses Problem tritt nur auf, wenn MDS-Switches über eine LDAP-Konfiguration verfügen. Dies tritt bei TACACS-Konfigurationen (Terminal Access Controller Access-Control System) nicht auf.

Cause

Wenn der LDAP-Server nicht erreichbar ist, können sich Nutzer nicht mit dem lokalen Nutzernamen und Kennwort beim Switch anmelden.

Cisco-Fehler CSCuy39447

https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
 

Resolution

Dauerhafte Lösung: Dies soll in einer zukünftigen Codeversion behoben werden.


Problemumgehung:
Dies ist die von Cisco empfohlene Problemumgehung, behebt das Problem jedoch nicht.
Um zur lokalen Anmeldung zurückzukehren, wenn LDAP-Server nicht erreichbar sind, muss auf den Konsolenanschluss zugegriffen werden und LDAP muss deaktiviert sein.

Melden Sie sich über die Konsolenverbindung mit dem Kennwort für den lokalen Nutzernamen an.  

Wenn Sie dennoch sicherstellen möchten, dass der MDS-Switch LDAP-Authentifizierung verwendet, wenn Sie in den Switch gelangen können, können Sie die ldap-search-map aus "aaa group server ldap" entfernen, sodass die aaa-Gruppe in etwa wie folgt aussieht:

aaa group server ldap ldap_group
server x.x.x.x
no ldap-search-map

Ohne ldap-search-map greift der MDS-Switch auf die lokale Authentifizierung zurück, wenn der LDAP-Server nicht erreichbar ist.

Deaktivieren Sie die Suchzuordnung, sodass sie wieder lokal ist, aber wenn der LDAP-Server wieder erreichbar ist, müssen Sie zum Konsolenzugriff des Switches zurückkehren und die Suchzuordnungskonfiguration zurücksetzen, damit die LDAP-Konfiguration funktioniert.

Sie können dazu auch den folgenden Befehl verwenden.
 
SW(config)# no aaa authentication login default group <group name>  
 
ODER
 
SW(config)# aaa authentication login default local
 

 

Proprietăți articol
Article Number: 000171399
Article Type: Solution
Ultima modificare: 10 sept. 2025
Version:  4
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.