SSH 経由で ESXi ホストに接続しようとすると、ユーザーはパスワードを 2 回入力するよう求められる
search cancel

SSH 経由で ESXi ホストに接続しようとすると、ユーザーはパスワードを 2 回入力するよう求められる

book

Article ID: 338047

calendar_today

Updated On:

Products

VMware vSphere ESXi

Issue/Introduction

  • ESXi 5.x ホストを ESXi 6.x にアップグレードした後、SSH 経由で接続しようとすると、パスワードを 2 回入力するよう求められる。
  • パスワードの最初の入力後にエラーは表示されず、すぐに 2 回目のパスワード入力を求められる。
  • 2 回目のパスワードを入力すると、ログインが可能になる。
  • /var/run/log/auth.log, に、2 つの pam_sm_authentication failures が記録される。
CConnection from 1.1.1.1 port 63936
[module:pam_lsass]pam_sm_authenticate: failed [error code:40017] <---First
[module:pam_lsass]pam_sm_authenticate: failed [error code:40017] <---Second
Accepted keyboard-interactive/pam for root from 1.1.1.1 port 63936 ssh2
pam_unix(sshd:session): session opened for user root by (uid=0)
Session opened for 'root' on /dev/char/pty/t0
Timeout, client not responding.
pam_unix(sshd:session): session closed for user root
Session closed for 'root' on /dev/char/pty/t0

  • ホストが Active Directory ドメインに参加している場合、ローカル アカウント ログインに成功すると 1 つの pam_lsass failure のみが記録される。
  • ESXi ホストの /etc/pam.d/system-auth-generic ファイルには、アカウントと認証のための 2 つの pam_lsass.so エントリが含まれる。


Symptoms:
免責事項:これは英文の記事「User is prompted to enter their password twice when connecting to an ESXi host via SSH (2147981)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Environment

VMware vSphere ESXi 6.0
VMware vSphere ESXi 6.5

Cause

この問題は、スマート カードを使用するローカル ユーザーの認証をサポートするように PAM パラメータが変更された場合に発生します。新しい PAM エントリは、元のエントリを更新または削除せずに追加されます。

Resolution

これは 5.x からアップグレードされた ESXi 6.0 および 6.5 ホストに影響する既知の問題です。

この問題は、VMware ESXi 6.0 パッチ リリース 5 で解決されており、VMware Patch Downloads から入手できます。パッチのダウンロードの詳細については、「How to download patches in MyVMware (1021623)」を参照してください。

この問題の発生を回避するには、ESXi ホストをアップグレード前にドメインから分離します。

アップグレードが完了すると、ホストをドメインに再参加させることができます。

すでにアップグレードされているホストの場合:

  1. ドメインからホストを分離します。これは 2 つの pam_lsass.so smartcard_prompt エントリを削除します。
  2. /etc/pam.d/system-auth-generic から old pam_lsass.so エントリを削除します。
  3. 次の場所に移動します: /etc/pam.d/system-auth-generic

    #%PAM-1.0
    account sufficient /lib/security/$ISA/pam_lsass.so <---Delete this line
    account sufficient /lib/security/$ISA/pam_unix.so
    account required /lib/security/$ISA/pam_deny.so
    auth sufficient /lib/security/$ISA/pam_lsass.so <---Delete this line
    auth sufficient /lib/security/$ISA/pam_unix.so try_first_pass likeauth nullok
    auth required /lib/security/$ISA/pam_deny.so
    session sufficient /lib/security/$ISA/pam_unix.so
    session required /lib/security/$ISA/pam_deny.so
  4. ホストをドメインに再参加させます。
  5. ファイルは次のようになります。

    #%PAM-1.0
    account sufficient /lib/security/$ISA/pam_lsass.so smartcard_prompt
    account sufficient /lib/security/$ISA/pam_unix.so
    account required /lib/security/$ISA/pam_deny.so
    auth sufficient /lib/security/$ISA/pam_lsass.so smartcard_prompt
    auth sufficient /lib/security/$ISA/pam_unix.so try_first_pass likeauth nullok
    auth required /lib/security/$ISA/pam_deny.so
    session sufficient /lib/security/$ISA/pam_unix.so
    session required /lib/security/$ISA/pam_deny.so
    session required /lib/security/$ISA/pam_deny.so




Additional Information

User is prompted to enter their password twice when connecting to an ESXi host via SSH

Powered by Wolken Software