文書番号: 000071365
Dell VxRail: 로그인 시도 실패 후 ESXi 루트 계정이 900초 동안 잠김
概要: 이 문서에서는 로그인 시도가 실패한 후 ESXi 로컬 사용자 계정 root에 대한 원격 액세스가 900초 동안 잠겼을 때의 해결 방법을 제공합니다. iDRAC 콘솔에 연결하여 ESXi 셸에 액세스한 다음 reset 명령을 실행합니다.
文書の内容
現象
여러 번의 로그인 시도 실패로 인해 하나 이상의 ESXi 호스트의 루트 계정이 잠겨 있습니다.
SSH 또는 웹 UI를 사용하여 노드에 연결할 수 없습니다.
iDRAC 콘솔을 사용하여 ESXi 셸에 대한 문제를 확인합니다.
vCenter에서 다음과 유사한 경고 메시지가 표시됩니다.
Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.
그림 1: 원격 액세스가 잠겨 있습니다.
영향을 받는 호스트에서 다음과 유사한 로그를 찾을 수 있습니다.
/var/log/vobd.log
2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
/var/log/auth.log
2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40 user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]
原因
노드의 루트 비밀번호가 변경되었을 수 있지만 타사 모니터링 소프트웨어가 새 루트 비밀번호로 업데이트되지 않았습니다.
이로 인해 로그인이 여러 번 실패하게 됩니다(때로는 수백 또는 수천 번). 이렇게 하면 루트 계정이 15분 동안 잠기므로 노드에 SSH로 연결하거나 노드 웹 UI에 로그인할 수 없습니다.
DCUI 및 ESXi 셸을 통해 로그인할 수 있습니다.
vSphere 6.0부터 SSH를 통한 액세스 및 vSphere Web Services SDK를 통한 액세스에 대해 계정 잠금이 지원됩니다. DCUI(Direct Console Interface) 및 ESXi 셸은 계정 잠금을 지원하지 않습니다. 기본적으로 계정이 잠기기 전에 최대 5번의 시도 실패가 허용됩니다. 계정은 기본적으로 15분 후에 잠금 해제됩니다.
이로 인해 로그인이 여러 번 실패하게 됩니다(때로는 수백 또는 수천 번). 이렇게 하면 루트 계정이 15분 동안 잠기므로 노드에 SSH로 연결하거나 노드 웹 UI에 로그인할 수 없습니다.
DCUI 및 ESXi 셸을 통해 로그인할 수 있습니다.
vSphere 6.0부터 SSH를 통한 액세스 및 vSphere Web Services SDK를 통한 액세스에 대해 계정 잠금이 지원됩니다. DCUI(Direct Console Interface) 및 ESXi 셸은 계정 잠금을 지원하지 않습니다. 기본적으로 계정이 잠기기 전에 최대 5번의 시도 실패가 허용됩니다. 계정은 기본적으로 15분 후에 잠금 해제됩니다.
解決方法
이 문제를 해결하려면 다음을 수행합니다.
그림 2: ESXi 명령 및 출력
- iDRAC 콘솔에 연결한 다음 ESXi 셸에 연결합니다.
- DCUI에 로그인하고 문제 해결 옵션에서 ESXi 셸을 활성화하여 셸을 활성화합니다.
- 당신은 또한 할 수 있습니다
Cntrl-Alt-F1셸에 액세스합니다. - ESXi 셸에 연결한 후 아래 명령을 실행합니다. 출력은 아래 스크린샷과 일치해야 합니다. 단, "From" 항목에 "unknown"이 표시됩니다.
#pam_tally2 --user root #pam_tally2 --user root --reset #pam_tally2 --user root
그림 2: ESXi 명령 및 출력
- 위의 명령을 실행한 후 ESXi 노드 웹 UI에 로그인합니다.
- Monitor 로 이동한 다음 Events로 이동합니다. 로그인을 시도했지만 실패로 표시된 IP 주소가 표시됩니다.
- 여기에 나열된 IP 주소를 기반으로 애플리케이션을 식별해야 합니다. 이 작업을 중지하거나 올바른 자격 증명으로 구성하십시오.
その他の情報
자세한 내용은 VMware 문서 ESXi 암호 및 계정 잠금
ESXi 고장 수리 잠금 해제 루트 사용자 계정에 대한 비디오를 시청하십시오.
시간: 00:04:56 (hh:mm:ss)
사용 가능한 경우 이 비디오 플레이어의 설정 또는 CC 아이콘을 사용하여 선택 자막(자막) 언어 설정을 선택할 수 있습니다.
관련 자료
다음은 이 주제와 관련하여 관심을 가질만한 몇 가지 권장 리소스입니다.
文書のプロパティ
影響を受ける製品
VxRail, VxRail E560F
製品
VxRail E560F
最後に公開された日付
14 6月 2024
バージョン
13
文書の種類
Solution