Mensajes de error y resolución de problemas

En la interfaz de usuario se puede mostrar un mensaje de aviso o error para ofrecer información sobre el adaptador o cuando se produce un error.

Mensajes de error

agentCfg clave de configuración caracteres mínimos

Una clave de configuración no puede tener menos de 5 caracteres. De lo contrario, cuando inicie agentCfg para configurar un adaptador activo, aparecerá el siguiente mensaje:

Configuration key too short - 5 characters minimum. Aborting...

Después de lo cual se interrumpe el procesamiento de la solicitud de información ( agentCfg ).

Inicialización del archivo de registro

La información adicional se registra en el registro del sistema (syslog) de z/OS durante la inicialización del adaptador. Se trata de la inicialización del archivo de registro para los siguientes escenarios:

El archivo de registro que está configurado en el script de shell se utiliza para iniciar el adaptador no existe. En este caso, se crea un nuevo archivo de registro y se escriben los siguientes mensajes en el registro del sistema:
```
racfAgent: Registry file specified by environment
REGISTRY is '<adapter_read_write_home>/data/<adapter_name>.dat'
racfAgent: REGISTRY does not exist
racfAgent: Creating a new registry file
```

El archivo de registro existe, pero no se puede acceder a él (por ejemplo, permisos de archivo incorrectos). En este caso, el adaptador aborta la inicialización y los siguientes mensajes se escriben en el registro del sistema:


racfAgent: Registry file specified by environment
REGISTRY is '<adapter_read_write_home>/data/<adapter_name>.dat'
racfAgent: FATAL ERROR: REGISTRY file open error: EDC5111I Permission
denied.
racfAgent: can't continue without access to the registry file
racfAgent: exiting process

El registro existe, pero el adaptador no puede acceder a parte de la ruta. En este caso, el adaptador aborta la inicialización y los siguientes mensajes se escriben en el registro del sistema:

racfAgent: Registry file specified by environment
REGISTRY is '<adapter_read_write_home>/data/<adapter_name>.dat'
racfAgent: FATAL ERROR: REGISTRY file stat error:
EDC5111I Permission denied.
racfAgent: can't continue without access to the registry file
racfAgent: exiting process

El registro existe, pero no se especifica en el script de shell que se utiliza para iniciar el adaptador. En este caso, se crea un nuevo archivo de registro en /tmp y se escriben los siguientes mensajes en el registro del sistema:
```
racfAgent: WARNING no REGISTRY file specified by the environment
racfAgent: Creating a new registry file
racfAgent: Registry to be created is '/tmp/<adapter_name>.dat'
```

Configuración máxima de hilos para operaciones de adaptador

El número máximo predeterminado de hilos para todas las operaciones del adaptador (buscar, modificar, añadir, eliminar) se establece en tres en la inicialización del adaptador. El número mínimo predeterminado de subprocesos para todas las operaciones del adaptador se establece en uno en la inicialización del adaptador, ya que se requiere al menos un subproceso para realizar una operación. Ahora el adaptador escribe mensajes de depuración en el registro del adaptador con respecto al número de subprocesos que todavía están disponibles para realizar nuevas operaciones. Esto proporciona más información sobre posibles retrasos en el procesamiento relacionados con la disponibilidad de hilo.

Iniciar el adaptador en modo consola

Para fines de depuración, puede ser útil iniciar el adaptador directamente desde la línea de comandos en modo consola. Al hacerlo, todos los mensajes que de otro modo se escribirían en el registro del sistema o en el registro del adaptador se mostrarán en la consola utilizada para iniciar el adaptador. El adaptador se puede iniciar en modo consola ejecutando todos los comandos de exportación configurados en el script de shell. El script se utiliza para iniciar el adaptador y garantizar que todas las bibliotecas estén disponibles para el adaptador, y luego ejecuta el siguiente comando para iniciar el adaptador:

/<adapter_readonly_home/lpp/bin/racfAgent -name <adapter_name> -registry
<adapter_readwrite_home>/data/<adapter_name>.dat -console

Se ha añadido AES al formulario KERB (y se ha cambiado la descripción de DESD)

En el servidor Security Identity Manager, la descripción del campo DESD en la pestaña Kerberos era incorrecta. Esto se ha corregido y se ha añadido un nuevo campo para el tipo de cifrado AES y se ha añadido soporte para el nuevo campo al agente de RACF.

Avisos y mensajes de error

Todos los errores devueltos por RACF al ejecutar comandos RACF utilizando el servicio R_Admin callable IRRSEQ00 se registran en el registro del adaptador. Si no se puede ejecutar un comando, el adaptador registra el código de retorno SAF, el código de retorno de la solicitud de acceso ( RACF ) y los códigos de motivo de error ( RACF ) en el registro del adaptador. Por ejemplo:

ERR:15/05/01 11:48:47 issueRadmin: safRC = 8, racfRC = 8 racfReason = 24, returning rc = 5

Es probable que el AdapterID o SURROGATID no tenga permiso para todos los perfiles requeridos, tal como se describe en la Configuración de acceso de RACF. Puede encontrar información detallada sobre estos códigos de devolución y motivo en la documentación de Servicios a petición ( z/OS Security Server RACF ) en el Centro de conocimiento ( z/OS ).

BSE:_ermAlloc: ERROR: malloc FALLO: tamaño 60

El adaptador detiene el procesamiento cuando encuentra errores durante la asignación de memoria.

Los siguientes mensajes se muestran para indicar que el adaptador está abortando el proceso:

ERR: Error al crear la entrada racfSearch: 
ERR:racfSearch: reconciliación ABORTADA

Después de lo cual, este mensaje de error final se escribe en el registro del adaptador:ERR: "FATAL memory error encountered, shutting down now"

El servidor de identidad muestraFatal error encountered

Los errores de asignación de memoria pueden deberse a una configuración inadecuada del tamaño del HEAP del entorno de idioma (LE).

La configuración del tamaño de HEAP se puede diagnosticar cuando se agrega la siguiente línea al script de inicio del adaptador:

export _CEE_RUNOPTS='RPTOPTS(ON),RPTSTG(ON)'

Esta línea garantiza que el registro de tareas iniciadas por los adaptadores muestre las asignaciones actuales de tamaño de montón y los tamaños mínimos sugeridos.

Puede utilizar la siguiente configuración general para el adaptador RACF :

export _CEE_RUNOPTS='HEAP(80K,8K,ANYWHERE,,1K,1K),AN(1450K,4K,ANY,FREE),AL(ON),
HEAPPOOLS(ON,8,8,16,16,24,17,32,3,56,8,72,3,136,4,296,7,480,3,848,4,2080,,4104,)'

Mensajes del adaptador

RACF® DESCARGAR falta el procesamiento de registro 0102

En caso de que falte un registro 0102 de descarga de base de datos de RACF, por lo que se desconoce el valor real de autoridad de conexión, se genera <AUTHORITY>USE</AUTHORITY>.

En caso de que falte un registro 0102, se imprime un mensaje que comienza con " Fix0205 " en el SYSPRINT del programa ISIMRECO. Este mensaje muestra la información del grupo y del usuario para los que se genera la AUTORIDAD predeterminada USO.

IRRDBU00 no descarga un registro de datos de miembros del grupo (0102) por cada usuario conectado a un grupo universal. Solo los usuarios que figuran en la lista de miembros del grupo tienen registros 0102. Los usuarios que figuran en la lista de miembros del grupo son aquellos usuarios con atributos de usuario a nivel de grupo, como grupo-ESPECIAL, o autoridad de grupo superior a USO.

El adaptador no escribirá elUnload 0102 record is missingmensaje al registro para grupos universales. Se espera que estos registros falten para los usuarios que no figuran en la lista de miembros del grupo.

Mensajes del servidor

La siguiente tabla contiene advertencias o errores que podrían aparecer en la interfaz de usuario si el adaptador está instalado en su estación de trabajo.

Tabla 1. Mensajes de error, advertencias y acciones correctivas
Mensaje de error o advertencia	Advertencias, mensajes o información adicionales	Acción correctiva
Mensaje de error del adaptador: no se pudo establecer el entorno de seguridad para SURROGAT.	Registro del adaptador: ERR:14/07/31 10:42:31 racfModify: pthread_security_np() crear fallido. errno2=0BE800D8: EDC5139I No se permite la operación	ACTUALIZACIÓN DEL PERMISO de acceso para el INTERESADO en BPX.SERVER en INSTALACIONES DE CLASE
racfSearch: no se ha podido crear el hilo RECOJOB	z/OS® Syslog podría proporcionar un mensaje de AUTORIDAD INSUFICIENTE	Verifique que el adaptador ID de e RACF a y SURROGAT ID tengan acceso de lectura y escritura al directorio de datos READWRITE.
No se pudo establecer el entorno de seguridad para el usuario SURROGAT	No aplicable	PERMITIR acceso de LECTURA para ISIAGNT en BPX.SRV. `<SURROGATID>` en CLASE SURROGAT
racfSearch: no se ha podido crear el hilo RECOJOB	DETALLE Registro del adaptador: tsoCmd: resultado es IKJ56644I USUARIO TSO NO VÁLIDO, SE UTILIZAN ATRIBUTOS DE USUARIO PREDETERMINADOS	Asegúrese de que el ADAPTER ID tenga un TSO USERID válido.
CTGIMU107W `The connection to the specified service cannot be established. Verify the service information, and try again`	Se ha producido un error de E/S al enviar una solicitud. Error:`Connection refused: connect`	Asegúrese de que el servicio del adaptador se está ejecutando. Para obtener más información sobre cómo iniciar el servicio del adaptador, consulte Reiniciar el servicio del adaptador.
	El adaptador devolvió un estado de error para una solicitud de enlace. Código de estado: credenciales no válidas. Mensaje de error del adaptador:`Authentication Failed`	Compruebe que el ID de autenticación del adaptador y la contraseña coinciden con los valores instalados. Consulte la pantalla de parámetros específicos del adaptador en la tarea Ejecutar el cuadro de diálogo " ISPF ".
	Se ha producido un error de E/S al enviar una solicitud. Error:`com.ibm.daml.jndi. JSSESocketConnection .HANDSHAKE_FAILED:`	Si SSL está habilitado, compruebe la configuración. Consulte Configuración de la autenticación SSL. El registro del adaptador contiene detalles sobre los certificados que se cargan durante la inicialización.
	Usuario `nombre de usuario` añadir Correcto. Algunos atributos no se modificaron: `attr1,attr2`	Se intenta añadir una cuenta de usuario. Sin embargo, ciertos atributos no se establecen durante la operación de adición de usuario. Para obtener más información, consulte el archivo de registro del adaptador en /var/ibm/isimracf/log/racfagent.log.. El archivo de registro contiene información sobre los atributos que no se establecen durante la operación de adición de usuario.
	Usuario `nombre de usuario` modificar Correcto. Algunos atributos no se modificaron: `attr1,attr2`	Se intenta modificar una cuenta de usuario. Sin embargo, la modificación falló para ciertos atributos durante la operación. Para obtener más información, consulte el archivo de registro del adaptador en /var/ibm/isimracf/log/racfagent.log. El archivo de registro contiene información sobre los atributos que no se establecen durante la operación de modificación.
CTGIMD812E`An error occurred while processing the adapter response message. The following error occurred. Error: Premature end of file.`		Asegúrese de que el servicio del adaptador se está ejecutando. Para obtener más información sobre cómo iniciar el servicio de adaptador, consulte Reiniciar el servicio de adaptador
tsoCmd: el resultado es: SU ADMINISTRADOR DE TSO DEBE AUTORIZAR EL USO DE ESTE MANDO	No aplicable.	PERMITIR acceso de LECTURA para ISIAGNT en JCL en CLASS TSOAUTH Por ejemplo: PE JCL CLASS(TSOAUTH) ID(ISIAGNT) ACCESS(READ)SETROPTS RACLIST(TSOAUTH) REFRESH
tsoCmd: RECOJOB no se ha enviado	tsoCmd: resultado es `<cadena de resultado` > racfSearch: no se pudo iniciar la reapertura de la sesión	Verifique si la cadena de resultados es un mensaje TSO estándar, tal como se define en `SYS1.MSGENU(IKJSCHEN)`. Si se implementa una salida personalizada que devuelve un mensaje no estándar, excluya el trabajo de conciliación de esta salida. Un primer paso para solucionar este problema es simplemente ejecutar `tsocmd` desde la línea de comandos de Unix. Esto debería dar como resultado: Uso: `tsocmd [tsocommand]` Si esto no funciona, póngase en contacto con el administrador del sistema. Si funciona, copie la línea de comando `tsocmd` fallida del registro del adaptador al símbolo del sistema de Unix y envíela manualmente (esto requiere que al menos el registro DTL esté habilitado). Por ejemplo, los registros muestran un error para el siguiente comando: `DTL:23/04/21 11:25:29 Thread:000005 tsoCmd: formatted command is: tsocmd "exec 'CRMBJR1.VERRACF.V10-004.EXEC(ISIMLOKU)' 'CRMBJR1 CRMBJR1.VERRACF.V10-004.LSAVE'" 1> /u/verracf/V10-004/ibm/data/proc.3409928583953426258.err 2>/u/verracf/V10-004/ibm/data/proc.3409928583953426258.out` Copie el comando que comienza con `tsocmd`, excluyendo la redirección de salida, y péguelo en la línea de comandos de Unix: `tsocmd "exec 'CRMBJR1.VERRACF.V10-004.EXEC(ISIMLOKU)' 'CRMBJR1 CRMBJR1.VERRACF.V10-004.LSAVE'"` Cualquier error que se devuelva se mostrará ahora en su consola. Haz una captura de pantalla y súbela al caso de soporte si necesitas más ayuda para resolver el problema.
LDAP: código de error 92		Aumentar el tamaño del registro de transacciones. Ver tamaño del registro de transacciones de DB2.
`*BPXI040I PROCESS LIMIT MAXPROCUSER HAS REACHED XX % OF ITS CURRENT CAPACITY OF XX FOR PID=XXX IN JOB ISIAGNT`		Aumentar la cantidad de procesos disponibles para el logonid de RACF del adaptador.

Códigos de retorno AT-TLS

Consulte los códigos de retorno AT-TLS para obtener más detalles.

RACF Autenticación de ID de sustituto

El adaptador utiliza el servicio invocable de la Autoridad de Servicios de Internet ( BPX1PWD ) para determinar si los dominios de nivel superior ( DAML_USER ) y los dominios de nivel superior genéricos ( DAML_PASSWORD ) especificados en el formulario de servicio son válidos. Si el ADAPTER ID tiene acceso de administrador ( READ ) en el perfil de esta cuenta, tal como se define en la clase SURROGAT .

Consulte BPX1PWD, BPX4PWD — Verificar o cambiar la información de seguridad para obtener más detalles.