При включении аутентификации AAA возврат к состоянию до сбоя не работает

Summary: Аутентификация, авторизация и учет (AAA) включены и работают должным образом, но локальный резервный порт mgmt.0 не работает.

Acest articol se aplică pentru Acest articol nu se aplică pentru Acest articol nu este legat de un produs specific. Acest articol nu acoperă toate versiunile de produs existente.
Consultați alte resurse

Symptoms

Активация группы аутентификации AAA для удаленного входа

Была настроена аутентификация AAA для протокола LDAP (Lightweight Directory Access Protocol) с возможностью возврата к локальному входу, если серверы LDAP недоступны.  

Когда серверы LDAP недоступны, многоуровневые коммутаторы контроллеров (MDS) не возвращаются к локальным базам данных, даже если в запущенных конфигурациях присутствует следующая команда. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)

"aaa authentication login default fallback error local"

Единственным исключением является MDS 9250i, который возвращается к локальной базе данных, когда сервер LDAP недоступен.

Это поведение было протестировано в MDS 9513 и MDS9250i с одной и той же версией NX-OS (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i не испытывает проблем и возвращается к локальной базе данных, когда сервер LDAP недоступен, а другие коммутаторы MDS этого не делают.

Эта проблема возникает только в том случае, если коммутаторы MDS имеют конфигурацию LDAP. Это не происходит с конфигурациями системы контроля доступа контроллера доступа терминала (TACACS).

Cause

Если сервер LDAP недоступен, пользователи не могут войти в коммутатор, используя локальное имя пользователя и пароль.

Ошибка Cisco CSCuy39447

https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
 

Resolution

Окончательное решение Это будет исправлено в следующем выпуске кода.


Временное решение.
Это временное решение, рекомендованное Cisco, но оно не решает проблему.
Чтобы вернуться к локальному входу в систему, когда серверы LDAP недоступны, необходимо получить доступ к порту консоли и отключить LDAP.

Войдите в систему с локальным именем пользователя и паролем через подключение консоли.  

Если вы все еще хотите убедиться, что коммутатор MDS использует аутентификацию LDAP, если вы можете войти в коммутатор, вы можете удалить ldap-search-map из «aaa group server ldap», чтобы группа aaa выглядела примерно так:

aaa group server ldap ldap_group
server x.x.x.x
no ldap-search-map

Если сервер LDAP недоступен, коммутатор MDS возвращается к локальной проверке подлинности.

Отключив карту поиска, чтобы она возвращалась к локальной, но когда сервер LDAP станет доступным, необходимо вернуться к доступу к консоли коммутатора и вернуть конфигурацию карты поиска для работы конфигурации LDAP.

Для этого также можно использовать следующую команду.
 
SW(config)# no aaa authentication login default group <group name>  
 
ИЛИ
 
SW(config)# aaa authentication login default local
 

 

Proprietăți articol
Article Number: 000171399
Article Type: Solution
Ultima modificare: 10 sept. 2025
Version:  4
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.