ESXi 6.5:SSHおよびWeb GUI経由でパスワードを使用してログインできないが、SSHの公開鍵認証は引き続き機能する
新しくインストールしたESXiシステムがあります(2017-02-02の6.5.0a)。今日はパスワードでログインできません。 Web GUI(Web vSphere)とパスワード認証付きのSSHの両方が機能しません。
Web GUIからのエラー:
Cannot complete login due to an incorrect user name or password.
私はssh pub key authを設定しましたが、それでも問題なく機能するため、sshを介してコンソールにrootアクセスできます。 「passwd root」で何度もパスワードを変更してみました。ホストを再起動しましたが、Web GUIも、パスワード認証付きのSSHも機能しません。
ESXiホストへのアクセスを復元するために他にできることはありますか?
つまり、ESXi 6以降に導入されたrootアカウントのロックアウト機能があり、ログイン試行の失敗が最大で900秒に達すると、ロックアウトタイマーが徐々に増加します。これらのタイマーは追加的であるようです。 DCUIコンソールは影響を受けず、パスワードはそこで機能するはずです。管理インターフェースがパブリックネットワークに面している場合、ブルートフォースsshボットがこのタイマーがrootアカウントに対して期限切れにならないようにするため、問題が発生しています。 hostd.logとauth.logを調べて、詳細を確認してください。
優先順に、管理インターフェイスをパブリックネットワークに向けないようにする、信頼できるネットワークからのトラフィックのみを受け入れるように組み込みのファイアウォールを構成する、またはSSHを無効にして、ロックアウトの期限が切れるまで数時間待つことができます。その後、再度ログインできるはずです。
個別の非root管理者アカウントを作成して使用するか、詳細オプションのSecurity.AccountLockFailuresをゼロに設定してアカウントロックアウト機能を無効にして、今後この問題が発生しないようにすることができます。同時に、ベストプラクティスに従うことを検討し、管理ネットワークからパブリックアクセスを削除し、トラブルシューティングに必要でない場合はSSHアクセスを無効にする必要があります。
最初のビルド中にこの問題が発生し、誤ってロックダウンモードになりました。iLOのコンソールからロックダウンモードを無効にできたため、Web GUIとPuTTY sshが再び機能していました。
ESXiホスト6.xのIPアドレスを変更するだけで、コンソールからホストにアクセスできる場合にのみ、この問題が解決されます(「Web UIでは、ユーザー名またはパスワードが正しくないため、ログインを完了できません」)。