L’accès distant à la racine de l’utilisateur local ESXi a été verrouillé - Série de pannes et réparations VxRail

L’accès distant à la racine de l’utilisateur local ESXi a été verrouillé - Série de pannes-résolutions VxRail.

Bienvenue dans la série de vidéos de dépannage VxRail de Dell Technologies.

« L’accès distant au compte d’utilisateur local ESXi « root » a été verrouillé pendant 900 secondes après de nombreuses tentatives de connexion infructueuses. » D’après l’article de la base de connaissances Dell numéro 542558.

Cette vidéo a été créée pour déverrouiller l’accès root distant lorsque le compte d’un ou de plusieurs hôtes ESXi a été verrouillé en raison d’un certain nombre d’échecs de tentatives de connexion.

À partir de vSphere 6.0, le verrouillage de compte est pris en charge pour l’accès via SSH et via le vSphere Web Services SDK. Par défaut, un maximum de cinq tentatives infructueuses est autorisé avant le verrouillage du compte.

Par défaut, le compte est déverrouillé au bout de 15 minutes. Cette vidéo montre comment se connecter au shell ESXi et comment réactiver la connexion à distance verrouillée.

Ce problème peut se produire lorsque certaines applications tierces, telles qu’une application de surveillance, ont été configurées avec des informations d’identification root non valides ou n’ont pas été mises à jour avec les informations d’identification root les plus récentes.

Cela peut entraîner plusieurs échecs de connexion, ce qui verrouille le compte root pendant au moins 15 minutes. À partir de vSphere 6.0, le verrouillage de compte est pris en charge pour l’accès via SSH et via le vSphere Web Services SDK.

L’interface de console directe (DCUI) et le shell ESXi ne prennent pas en charge le verrouillage du compte. Par défaut, un maximum de 5 tentatives infructueuses est autorisé avant le verrouillage du compte.

Par défaut, le compte est déverrouillé au bout de 15 minutes. Avant de commencer, munissez-vous des informations d’identification iDRAC et du mot de passe root ESXi. Vous pouvez également collecter l’adresse IP de gestion de l’hôte concerné et les informations IP iDRAC associées.

Pendant la reproduction, nous allons d’abord nous connecter à l’iDRAC et ouvrir une console. Nous allons ensuite nous connecter au shell ESXi et réinitialiser le compteur d’échecs de mot de passe. Enfin, nous allons tester une connexion réussie via SSH.

Après la connexion à vCenter, l’alerte est signalée dans l’onglet Summary du nœud concerné. Nous pouvons maintenant ouvrir l’iDRAC sur le nœud associé, puis ouvrir une console virtuelle.

Maintenant, ouvrons un shell avec Alt + F1 et connectons-nous en tant qu’utilisateur root. Après vous être connecté, consultez le auth.log pour rechercher des tentatives d’authentification infructueuses. Vérifiez le nombre de tentatives infructueuses à l’aide de pam_tally2 outil.

Nous pouvons réinitialiser le compteur de l’utilisateur root et vérifier à nouveau si le compteur est remis à zéro. Nous pouvons maintenant tester une connexion distante via SSH pour confirmer que l’accès root distant a été restauré.

Notez que le message d’erreur sur l’interface utilisateur vSphere peut ne pas disparaître immédiatement. Pour vérifier si la réinitialisation a fonctionné, une nouvelle connexion SSH peut être ouverte pour confirmer que le compte est déverrouillé.

Le compte est déverrouillé au bout de 15 minutes par défaut, mais uniquement si aucune autre tentative de connexion n’est effectuée, même avec un mot de passe valide.

Si un compte disposant de privilèges root est configuré sur ESXi, l’utilisateur peut se connecter via SSH avec ce compte et utiliser l’outil pam tally pour réinitialiser le compteur de tentatives infructueuses root.

Merci de votre attention.