Zdá se, že při povolení ověřování AAA nefunguje navrácení služeb po obnovení

Zhrnutie: Funkce Ověřování, autorizace a účtování (AAA) byla povolena a funguje správně, ale místní záloha pro port mgmt.0 nefunguje.

Tento článok sa vzťahuje na Tento článok sa nevzťahuje na Tento článok nie je viazaný na žiadny konkrétny produkt. V tomto článku nie sú uvedené všetky verzie produktov.
Pozrite si ďalšie zdroje

Symptómy

Aktivace ověřovací skupiny AAA pro vzdálené přihlášení

Ověřování AAA pro protokol LDAP (Lightweight Directory Access Protocol) bylo nastaveno s možností vrátit se k místnímu přihlášení, pokud jsou servery LDAP nedostupné.  

Pokud jsou servery LDAP nedostupné, vícevrstvé přepínače Director (MDS) se nevrátí k místním databázím, i když je ve spuštěných konfiguracích k dispozici následující příkaz. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)

"aaa authentication login default fallback error local"

Jedinou výjimkou je MDS 9250i, který se v době, kdy je server LDAP nedostupný, vrátí do místní databáze.

Toto chování bylo testováno u MDS 9513 a MDS9250i se stejnou verzí systému NX-OS (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i nemá žádný problém a v případě, že server LDAP není dostupný, se vrátí do lokální databáze, ale jiné přepínače MDS nikoli.

K tomuto problému dochází pouze v případě, že přepínače MDS mají konfiguraci LDAP. Nevyskytuje se u konfigurací systému řízení přístupu řadiče Terminal Access Controller (TACACS).

Príčina

Pokud je server LDAP nedostupný, uživatelé se nemohou přihlásit k přepínači pomocí místního uživatelského jména a hesla.

Chyba Cisco CSCuy39447

https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
 

Riešenie

Trvalá oprava: To bude opraveno v budoucí verzi kódu.


Alternativní řešení:
Jedná se o zástupné řešení doporučené společností Cisco, které však problém nevyřeší.
Chcete-li se vrátit k místnímu přihlášení a servery LDAP jsou nedostupné, musí být port konzoly přístupný a protokol LDAP musí být deaktivován.

Přihlaste se pomocí místního uživatelského jména a hesla pomocí připojení konzole.  

Pokud se přesto chcete ujistit, že přepínač MDS používá ověřování LDAP, pokud se do přepínače dostanete, můžete odebrat ldap-search-map z "aaa group server ldap", takže skupina aaa bude vypadat nějak takto:

aaa group server ldap ldap_group
server x.x.x.x
no ldap-search-map

Bez příkazu ldap-search-map se přepínač MDS v případě, že server LDAP není dostupný, vrátí k místnímu ověřování.

Aby konfigurace LDAP fungovala, je třeba mapu vyhledávání zakázat tak, aby se vrátila k místnímu režimu, ale jakmile bude server LDAP dostupný.

K tomu můžete také použít níže uvedené příkazy.
 
SW(config)# no aaa authentication login default group <group name>  
 
NEBO
 
SW(config)# aaa authentication login default local
 

 

Vlastnosti článku
Číslo článku: 000171399
Typ článku: Solution
Dátum poslednej úpravy: 10 sep 2025
Verzia:  4
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.