nexus 9000启用tacacs认证，如何设定优先走三A账号登录，当tacacs server故障才能走local 登录。

nexusNXOS57758 · ‎04-23-2025

目前三A账号和local账号都能同时登录，无法限制员工必须使用三A账号登录。

C93180LC_CDC40_Core_10.157.72.6# show version
Cisco Nexus Operating System (NX-OS) Software
TAC support: http://www.cisco.com/tac
Copyright (C) 2002-2017, Cisco and/or its affiliates.
All rights reserved.
The copyrights to certain works contained in this software are
owned by other third parties and used and distributed under their own
licenses, such as open source. This software is provided "as is," and unless
otherwise stated, there is no warranty, express or implied, including but not
limited to warranties of merchantability and fitness for a particular purpose.
Certain components of this software are licensed under
the GNU General Public License (GPL) version 2.0 or
GNU General Public License (GPL) version 3.0 or the GNU
Lesser General Public License (LGPL) Version 2.1 or
Lesser General Public License (LGPL) Version 2.0.
A copy of each such license is available at
http://www.opensource.org/licenses/gpl-2.0.php and
http://opensource.org/licenses/gpl-3.0.html and
http://www.opensource.org/licenses/lgpl-2.1.php and
http://www.gnu.org/licenses/old-licenses/library.txt.

Software
BIOS: version 05.23
NXOS: version 7.0(3)I7(1)
BIOS compile time: 06/26/2017
NXOS image file is: bootflash:///nxos.7.0.3.I7.1.bin
NXOS compile time: 8/31/2017 14:00:00 [09/01/2017 06:29:32]

Hardware
cisco Nexus9000 C93180LC-EX Chassis
Intel(R) Xeon(R) CPU D-1526 @ 1.80GHz with 24571680 kB of memory.
Processor Board ID FDO21491P78

Device name: C93180LC_CDC40_Core_10.157.72.6
bootflash: 53298520 kB
Kernel uptime is 987 day(s), 9 hour(s), 55 minute(s), 32 second(s)

Last reset
Reason: Unknown
System version: 7.0(3)I7(1)
Service:

plugin
Core Plugin, Ethernet Plugin

Active Package(s):

aaa authentication login default group ise
aaa authentication login console group ise none
aaa authorization config-commands default group ise local
aaa authorization commands default group ise local
aaa accounting default group ise
aaa authentication login ascii-authentication

nexusNXOS57758 · ‎04-23-2025

虽然启用了tacacs认证，部分员工仍然使用admin 本地账号登录，ise 无法进行记账。因此需要在启用tacacs认证成功的情况下，禁止local账号登录。目前cisco 3750，9200，2960系列都能实现，这个nexus 9K还没实现，希望专业人士给与帮助和解答

Rps-Cheers · ‎04-24-2025

看你配置的AAA命令，如果是这个“aaa authentication login default group ise”命令的话，那就是ise这个group作为登录选择，而没有fallback到Local或者none的方式；按理是可以实现的。

此外，虽然本地有admin的账号，但同时也可以看看ISE侧（如果Tacacs server使用的是ISE）是否也有这个账号，避免Local和AAA的账号一样的情况。当然，也可以结合完整的配置情况看看可能是什么原因。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

nexusNXOS57758 · ‎04-24-2025

ise没有admin账号，我自己测试三A账号和local账号都能登录。

ise是group

------------

aaa group server tacacs+ ise
server 10.66.64.99
source-interface mgmt0

----------------

Rps-Cheers · ‎04-25-2025

针对目前的问题，先进行一些可能性的判断：

1.AAA的fallback配置

Nexus 设备在默认或显式配置下，是支持 AAA fallback 的，也就是说：

如果远程 AAA server（如 TACACS+/RADIUS）不可用或响应超时，设备会自动 fallback 到本地账号。
但如果 AAA server 可用，它应该优先生效。

可以通过show run | i aaa查看配置，这里就是说明先Tacacs，如果失败，再尝试Local。

aaa authentication login default group tacacs+ local

2.TACACS Server 返回 "PASS" 但无权限

某些情况下：

AAA server 返回认证成功（Accept）但没有提供有效的权限（比如角色信息）
Nexus 可能会 fallback 到 local user 的授权配置，导致你认为本地账号也有效

3.Local用户配置了总是可用的权限

Nexus 支持配置 local user 不依赖 AAA 的授权，可以看是否有如下的配置：

username admin password 5 <hash> role network-admin

这样的本地账号即使 AAA 配置了，也可以始终登录（取决于 AAA 策略和认证组顺序）

4.VTY或者Console的登录方法配置不对应

如果你使用的是 console 或 vty 登录，看看对应 line 是否绑定了非 default 的 AAA 方法

可以通过show run | s line ，show run | i aaa 查看配置。

5.AAA server 可用，但响应慢或间歇性

有些时候 AAA server 不稳定，设备在等待超时后就 fallback 到 local 了，但这个需要配置Local作为认证选项。

其他操作：

可以通过show account log 查看login的日志信息，或者尝试开启debug aaa authen方法，看看login过程中是否有任何的问题提示。

看如上的描述是否有可能的匹配吧。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !