Dell VxRail:在登录尝试失败后,ESXi Root 帐户被锁定 900 秒
Summary: 本文提供了在登录失败后 ESXi 本地用户帐户 root 的远程访问权限被锁定 900 秒时的解决方案。连接到 iDRAC 控制台以访问 ESXi shell,然后运行重置命令。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
由于多次登录尝试失败,一个或多个 ESXi 主机的 root 帐户被锁定。
无法使用 SSH 或 Web UI 连接到节点。
使用 iDRAC 控制台到 ESXi shell 确认问题。
在 vCenter 中,将显示类似于以下内容的警告消息:
Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.
图 1:远程访问已锁定。
在受影响的主机上找到类似于以下内容的日志:
/var/log/vobd.log
2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
/var/log/auth.log
2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40 user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]
Cause
节点的 root 密码可能已更改,但第三方监视软件尚未使用新的 root 密码进行更新。
这会导致多次登录失败(有时是数百甚至数千次)。这会将 root 帐户锁定 15 分钟,从而导致无法通过 SSH 连接到节点或登录到节点 Web UI。
您可以通过 DCUI 和 ESXi shell 登录。
从 vSphere 6.0 开始,通过 SSH 和 vSphere Web Services SDK 进行的访问支持帐户锁定。Direct Console Interface (DCUI) 和 ESXi Shell 不支持帐户锁定。默认情况下,最多允许尝试失败五次,然后帐户才会被锁定。默认情况下,帐户在 15 分钟后解锁。
这会导致多次登录失败(有时是数百甚至数千次)。这会将 root 帐户锁定 15 分钟,从而导致无法通过 SSH 连接到节点或登录到节点 Web UI。
您可以通过 DCUI 和 ESXi shell 登录。
从 vSphere 6.0 开始,通过 SSH 和 vSphere Web Services SDK 进行的访问支持帐户锁定。Direct Console Interface (DCUI) 和 ESXi Shell 不支持帐户锁定。默认情况下,最多允许尝试失败五次,然后帐户才会被锁定。默认情况下,帐户在 15 分钟后解锁。
Resolution
要解决此问题,请执行以下操作:
图 2:ESXi 命令和输出
- 连接到 iDRAC 控制台 ,然后连接到 ESXi shell。
- 通过登录 DCUI 并在故障处理选项下启用 ESXi shell 来启用 shell。
- 您还可以执行
Cntrl-Alt-F1访问 shell。 - 连接到 ESXi shell 后,运行以下命令。输出应与下面的屏幕截图相匹配,但“From”条目显示“unknown”。
#pam_tally2 --user root #pam_tally2 --user root --reset #pam_tally2 --user root
图 2:ESXi 命令和输出
- 运行上述命令后,登录 ESXi 节点 Web UI。
- 转至 Monitor,然后转至 Events。您应该会看到其中列出了标记为失败的尝试登录的 IP 地址。
- 您必须根据此处列出的 IP 地址来标识应用程序。你可以停止该应用程序或使用正确的凭据进行配置。
Additional Information
有关更多信息,请参阅 VMware 文章 ESXi 密码和帐户锁定
观看有关 ESXi 故障修复解锁 root 用户帐户的视频。
持续时间:00:04:56 (hh:mm:ss)
如果可用,可以使用此视频播放器上的设置或 CC 图标选择隐藏式字幕(字幕)语言设置。
相关资源
以下是一些与此主题相关的推荐资源,您可能会感兴趣:
Affected Products
VxRail, VxRail E560FProducts
VxRail E560FArticle Properties
Article Number: 000071365
Article Type: Solution
Last Modified: 14 Jun 2024
Version: 13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.