CJです。
ESXi環境を管理中、esxcli または ESXi の各種ログ情報を集録するなど、ESXiへSSH接続を行うことケースがあるかと思います。
ところで複数のESXi を管理すると、たまにはパスワード認証が通ったり、通らなかったりした経験ございませんか?
今日はどこの違いによるものかを簡単に紹介したいと思います。
パスワード認証が通る時
例として、TeraTermを使った説明とします。
このように、普通に TeraTerm を開き、接続先のESXi (例. esxi01.cj-lab.com) とポート番号(例. 22) を指定した後、ユーザー名とパスワードを入力すると ESXi へ接続ができます。
パスワード認証が通らない時
“認証に失敗しました。再実行してください。” というメッセージと共に、プレインパスワードを使う項目が選択から外ずれてしまいます。
この場合は、チャレンジレスポンス認証を試してください。
“チャレンジレスポンス認証を使う (キーボードインタラクティブ)” 項目を選択し、
適切なパスワードを入力してください。そうすると、以下の通りに正常に ESXi へSSH接続ができます。
なぜ?
パスワード認証が通る場合と、そうではない場合(チャレンジレスポンス認証が通る場合) の違いは 以下の通りに ESXi の SSH config 設定が異なるためです。
#以下の例は、ESXi 6.7 U1 環境での情報となります。
/etc/ssh/sshd_config
# only use PAM challenge-response (keyboard-interactive)
PasswordAuthentication no #パスワード認証が通る場合
PasswordAuthentication yes #チャレンジレスポンス認証が通る場合
# only use PAM challenge-response (keyboard-interactive)
PasswordAuthentication no #パスワード認証が通る場合
PasswordAuthentication yes #チャレンジレスポンス認証が通る場合
#チャレンジレスポンス認証などについてウェブ上たくさんの情報がありますので、こちらでは割愛させていただきます。
複数のESXiを管理している方で、普段SSHログインはできていて問題はないが、設定が異なること (ログインの仕方が異なる)で気持ち悪いと思う方は、ぜひセキュリティの観点を含めてこの辺の設定変更をご検討いただいたらいかがでしょうか。