TACACS 認証にて AV Pair を shell:domains=all/read-all/ と定義し、読み取り権限のみのユーザーでスイッチにログインを試みたところ、APIC にはアクセスできるがスイッチにアクセスができない。

以下の資料に記載されておりますように、ユーザーに対して Read-only の権限を与え、
スイッチに対してアクセス可能とする場合、AV Pair は shell:domains=all//admin とする必要があります。

Cisco APIC Security Configuration Guide, Release 5.2(x) - AV Pair on the External Authentication Server 
---------------------------------------
Starting with release 3.1(x), the AV Pair shell:domains=all//admin allows you to assign Read-only privileges to users and provide them access to the switches and run commands.
<-snip->
The "/" character is a separator between writeRoles and readRoles per Security domain and is required even if only one type of role is to be used. The Cisco AVpair string is case sensitive. Although a fault may not be seen, using mismatching cases for the domain name or roles could lead to unexpected privileges being given.
---------------------------------------

ドキュメントに従い、AV Pair shell:domains=all//admin をご利用ください。