Quando si abilita l'autenticazione AAA, il failback sembra non funzionare

Zhrnutie: Authentication, Authorization, and Accounting (AAA) è stato abilitato e funziona correttamente, ma il fallback locale per la porta mgmt.0 non funziona.

Tento článok sa vzťahuje na Tento článok sa nevzťahuje na Tento článok nie je viazaný na žiadny konkrétny produkt. V tomto článku nie sú uvedené všetky verzie produktov.
Pozrite si ďalšie zdroje

Symptómy

Attivazione del gruppo di autenticazione AAA per l'accesso

remoto L'autenticazione AAA per LDAP (Lightweight Directory Access Protocol) è stata configurata con l'opzione di fallback all'accesso locale se i server LDAP non sono raggiungibili.  

Quando i server LDAP non sono raggiungibili, gli switch MDS (Multilayer Director) non tornano ai database locali anche se il seguente comando è presente nelle configurazioni in esecuzione. MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)

"aaa authentication login default fallback error local"

L'unica eccezione è rappresentata da MDS 9250i, che esegue il fallback nel database locale mentre il server LDAP non è raggiungibile.

Questo comportamento è stato testato in MDS 9513 e MDS9250i con la stessa versione di NX-OS (MDS NX-OS 6.2(13), 6.2(13a), 6.2(13b)).
MDS 9250i non presenta alcun problema e torna al database locale quando il server LDAP non è raggiungibile, ma altri switch MDS non lo fanno.

Questo problema si verifica solo quando gli switch MDS hanno una configurazione LDAP. Ciò non si verifica con le configurazioni TACACS (Terminal Access Controller Access-Control System).

Príčina

Se il server LDAP non è raggiungibile, gli utenti non possono accedere allo switch utilizzando il nome utente e la password locali.

Bug Cisco CSCuy39447

https://tools.cisco.com/bugsearch/bug/CSCuy39447/?reffering_site=dumpcr
 

Riešenie

Correzione permanente: Questa situazione verrà risolta in una versione futura del codice.


Soluzione alternativa:
Questa è la soluzione alternativa consigliata da Cisco, ma non risolve il problema.
Per tornare all'accesso locale con server LDAP irraggiungibili, è necessario accedere alla porta della console e disabilitare LDAP.

Accedere con la password del nome utente locale utilizzando la connessione alla console.  

Se si desidera comunque assicurarsi che lo switch MDS utilizzi l'autenticazione LDAP, se è possibile accedere allo switch, è possibile rimuovere ldap-search-map da "aaa group server ldap", in modo che il gruppo aaa abbia un aspetto simile al seguente:

aaa group server ldap ldap_group
server x.x.x.x
no ldap-search-map

Senza ldap-search-map, lo switch MDS esegue il fallback all'autenticazione locale se il server LDAP non è raggiungibile.

Disabilitazione della mappa di ricerca in modo che ritorni al locale ma quando il server LDAP diventa raggiungibile, è necessario tornare all'accesso alla console dello switch e ripristinare la configurazione della mappa di ricerca affinché la configurazione LDAP funzioni.

A tale scopo, è anche possibile utilizzare il comando riportato di seguito.
 
SW(config)# no aaa authentication login default group <group name>  
 
OPPURE
 
SW(config)# aaa authentication login default local
 

 

Vlastnosti článku
Číslo článku: 000171399
Typ článku: Solution
Dátum poslednej úpravy: 10 sep 2025
Verzia:  4
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.