Dell VxRail: ESXi basisaccount is 900 seconden vergrendeld nadat aanmeldingspogingen zijn mislukt

Het root-account van een of meer ESXi-hosts is vergrendeld vanwege verschillende mislukte aanmeldingspogingen.

Kan geen verbinding maken met het knooppunt via SSH of de webinterface.

Bevestig het probleem met behulp van de iDRAC-console in de ESXi-shell.

In vCenter wordt een waarschuwingsbericht weergegeven dat lijkt op het volgende:

Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.

Afbeelding 1: Externe toegang is vergrendeld.

Logboeken zoals de volgende worden gevonden op de getroffen host:

/var/log/vobd.log

2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.

 

/var/log/auth.log

2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40  user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]

Het root-wachtwoord voor het knooppunt is mogelijk gewijzigd, maar de externe bewakingssoftware is niet bijgewerkt met het nieuwe root-wachtwoord.

Dit veroorzaakt meerdere mislukte aanmeldingen (soms honderden of zelfs duizenden). Dit vergrendelt het root-account gedurende 15 minuten, wat leidt tot het onvermogen om SSH naar het knooppunt te sturen of u aan te melden bij de webinterface van het knooppunt.

U kunt inloggen via de DCUI en de ESXi-shell.

Vanaf vSphere 6.0 wordt accountvergrendeling ondersteund voor toegang via SSH en via de vSphere Web Services SDK. De Direct Console Interface (DCUI) en de ESXi Shell bieden geen ondersteuning voor accountvergrendeling. Standaard zijn er maximaal vijf mislukte pogingen toegestaan voordat het account wordt vergrendeld. Het account wordt standaard na 15 minuten ontgrendeld.

U kunt dit probleem als volgt oplossen:

1. Maak verbinding met de iDRAC-console en vervolgens met de ESXi-shell.
2. Schakel de shell in door u aan te melden bij de DCUI en de ESXi-shell in te schakelen onder opties voor probleemoplossing.
3. Je kunt ook een Cntrl-Alt-F1 om toegang te krijgen tot de shell.
4. Nadat u verbinding hebt gemaakt met de ESXi-shell, voert u de onderstaande opdrachten uit. De uitvoer moet overeenkomen met de onderstaande schermafbeelding, behalve dat het item 'Van' 'onbekend' zegt.

#pam_tally2 --user root
#pam_tally2 --user root --reset
#pam_tally2 --user root

5. Nadat u de bovenstaande opdrachten hebt uitgevoerd, meldt u zich aan bij de web-UI van het ESXi-knooppunt.
6. Ga naar Monitor en vervolgens naar Events. U zou een IP-adres moeten zien dat probeerde in te loggen en dat wordt vermeld als mislukt.
7. U moet de applicatie identificeren aan de hand van het IP-adres dat hier wordt vermeld. Stop het of configureer het met de juiste referenties.

Zie voor meer informatie het VMware-artikel ESXi wachtwoorden en accountvergrendeling.

Bekijk deze video over ESXi Break Fix Unlock root User Account.