Article Number: 000071365
Dell VxRail:ログイン試行が失敗した後、ESXi rootアカウントが900秒間ロックされる
Summary: この記事では、ログイン試行に失敗した後、ESXiローカル ユーザー アカウントrootのリモート アクセスが900秒間ロックされる場合の解決方法について説明します。iDRACコンソールに接続してESXiシェルにアクセスし、resetコマンドを実行します。
Article Content
Symptoms
ログイン試行に複数回失敗したため、1台以上のESXiホストのrootアカウントがロックされています。
SSHまたはWeb UIを使用してノードに接続できません。
iDRACコンソールを使用してESXiシェルで問題を確認します。
vCenterでは、次のような警告メッセージが表示されます。
Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.
図1: リモート アクセスはロックされています。
影響を受けるホストでは、次のようなログが見つかります。
/var/log/vobd.log
2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
/var/log/auth.log
2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40 user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]
Cause
ノードのrootパスワードが変更されている可能性がありますが、サード パーティーのモニタリング ソフトウェアが新しいrootパスワードで更新されていません。
これにより、ログインに複数回失敗します (数百回または数千回の場合もあります)。これにより、rootアカウントが15分間ロックされ、ノードにSSHで接続できなくなったり、ノードのWeb UIにログインしたりできなくなります。
DCUIとESXiシェルを使用してログインできます。
vSphere 6.0以降では、アカウント ロックはSSHおよびvSphere Web Services SDKを介したアクセスでサポートされています。ダイレクト コンソール インターフェイス(DCUI)とESXiシェルは、アカウント ロックをサポートしていません。デフォルトでは、アカウントがロックされるまでに最大5回の試行失敗が許されます。デフォルトでは、アカウントは15分後にロック解除されます。
これにより、ログインに複数回失敗します (数百回または数千回の場合もあります)。これにより、rootアカウントが15分間ロックされ、ノードにSSHで接続できなくなったり、ノードのWeb UIにログインしたりできなくなります。
DCUIとESXiシェルを使用してログインできます。
vSphere 6.0以降では、アカウント ロックはSSHおよびvSphere Web Services SDKを介したアクセスでサポートされています。ダイレクト コンソール インターフェイス(DCUI)とESXiシェルは、アカウント ロックをサポートしていません。デフォルトでは、アカウントがロックされるまでに最大5回の試行失敗が許されます。デフォルトでは、アカウントは15分後にロック解除されます。
Resolution
この問題に対処するには、次の手順を実行します。
図2:ESXiコマンドと出力
- iDRACコンソールに接続してから、ESXiシェルに接続します。
- DCUIにログインし、トラブルシューティング オプションでESXiシェルを有効にして、シェルを有効にします。
- また、
Cntrl-Alt-F1をクリックしてシェルにアクセスします。 - ESXiシェルに接続した後、次のコマンドを実行します。出力は以下のスクリーンショットと一致する必要がありますが、「From」エントリには「unknown」と表示されます。
#pam_tally2 --user root #pam_tally2 --user root --reset #pam_tally2 --user root
図2:ESXiコマンドと出力
- 上記のコマンドを実行した後、 ESXiノードのWeb UIにログインします。
- [Monitor]>[Events]の順に移動します。ログインしようとしているIPアドレスが失敗として表示されます。
- ここにリストされているIPアドレスに基づいてアプリケーションを識別する必要があります。それを停止するか、正しい認証情報を使用して構成します。
Additional Information
詳細については、VMwareの記事「ESXiパスワードとアカウント ロックアウト
ESXi故障修理によるrootユーザー アカウントのロック解除に関するビデオをご覧ください。
再生時間:00:04:56 (hh:mm:ss)
利用可能な場合、このビデオ プレーヤーの設定またはCCアイコンを使用してクローズド キャプション(字幕)の言語設定を選択できます。
関連リソース
ここでは、このトピックに関連した、興味があると思われる推奨リソースをいくつか紹介します。
Article Properties
Affected Product
VxRail, VxRail E560F
Product
VxRail E560F
Last Published Date
14 Jun 2024
Version
13
Article Type
Solution