Messaggi di errore e risoluzione dei problemi

Un messaggio di avviso o di errore potrebbe essere visualizzato nell'interfaccia utente per fornire informazioni sull'adattatore o quando si verifica un errore.

Messaggi di errore

agentCfg caratteri minimi della chiave di configurazione
Una chiave di configurazione non può essere inferiore a 5 caratteri. Altrimenti, quando si avvia agentCfg per configurare un adattatore attivo, viene visualizzato il seguente messaggio:

Configuration key too short - 5 characters minimum. Aborting...

Dopo di che l'elaborazione di agentCfg si interrompe.

Inizializzazione del file di registro
Ulteriori informazioni vengono registrate nel syslog z/OS durante l'inizializzazione dell'adattatore. Si tratta dell'inizializzazione del file di registro per i seguenti scenari:
  1. Il file di registro configurato nello script di shell utilizzato per avviare l'adattatore non esiste. In questo caso viene creato un nuovo file di registro e i seguenti messaggi vengono scritti nel syslog:
    
racfAgent: Registry file specified by environment
REGISTRY is '<adapter_read_write_home>/data/<adapter_name>.dat'
racfAgent: REGISTRY does not exist
racfAgent: Creating a new registry file
  2. Il file di registro esiste, ma non è possibile accedervi (ad esempio, autorizzazioni di file errate). In questo caso l'adattatore interrompe l'inizializzazione e i seguenti messaggi vengono scritti nel syslog:
    
racfAgent: Registry file specified by environment
REGISTRY is '<adapter_read_write_home>/data/<adapter_name>.dat'
racfAgent: FATAL ERROR: REGISTRY file open error: EDC5111I Permission
denied.
racfAgent: can't continue without access to the registry file
racfAgent: exiting process
  3. Il registro esiste, ma l'adattatore non può accedere a una parte del percorso. In questo caso l'adattatore interrompe l'inizializzazione e i seguenti messaggi vengono scritti nel syslog:
    racfAgent: Registry file specified by environment
REGISTRY is '<adapter_read_write_home>/data/<adapter_name>.dat'
racfAgent: FATAL ERROR: REGISTRY file stat error:
EDC5111I Permission denied.
racfAgent: can't continue without access to the registry file
racfAgent: exiting process
  4. Il registro esiste, ma non è specificato nello script di shell utilizzato per avviare l'adattatore. In questo caso viene creato un nuovo file di registro in /tmp e i seguenti messaggi vengono scritti nel syslog:
    racfAgent: WARNING no REGISTRY file specified by the environment
racfAgent: Creating a new registry file
racfAgent: Registry to be created is '/tmp/<adapter_name>.dat'
Max Impostazioni filettatura per operazioni con adattatore
Il numero massimo predefinito di thread per tutte le operazioni dell'adattatore (ricerca, modifica, aggiunta, eliminazione) è impostato su tre all'inizializzazione dell'adattatore. Il numero minimo di thread predefinito per tutte le operazioni dell'adattatore è impostato su uno all'inizializzazione dell'adattatore, poiché è necessario almeno un thread per eseguire un'operazione. L'adattatore ora scrive messaggi di debug nel registro dell'adattatore relativi al numero di thread attualmente ancora disponibili per eseguire nuove operazioni. Ciò fornisce maggiori informazioni sui possibili ritardi di elaborazione legati alla disponibilità dei thread.
Avvio dell'adattatore in modalità console
A scopo di debug, può essere utile avviare l'adattatore direttamente dalla riga di comando in modalità console. In questo modo, tutti i messaggi che altrimenti vengono scritti nel syslog o nel registro dell'adattatore vengono visualizzati sulla console utilizzata per avviare l'adattatore. L'avvio dell'adattatore in modalità console può essere effettuato eseguendo tutti i comandi di esportazione come configurato nello script di shell. Lo script viene utilizzato per avviare l'adattatore per assicurarsi che tutte le librerie siano disponibili per l'adattatore e quindi esegue il comando seguente per avviare l'adattatore:
/<adapter_readonly_home/lpp/bin/racfAgent -name <adapter_name> -registry
<adapter_readwrite_home>/data/<adapter_name>.dat -console
Aggiunto AES al modulo KERB (e modificata la descrizione DESD)
Sul server Security Identity Manager, la descrizione del campo DESD nella scheda Kerberos non era corretta. Il problema è stato corretto, è stato aggiunto un nuovo campo per il tipo di crittografia AES e il supporto per il nuovo campo è stato aggiunto all'agente RACF.
Avvertenze e messaggi di errore
Tutti gli errori restituiti da RACF durante l'esecuzione dei comandi di RACF utilizzando il servizio richiamabile R_Admin IRRSEQ00 vengono registrati nel log dell'adattatore. Se un comando non può essere eseguito, l'adattatore registra il codice di ritorno SAF, il codice di ritorno RACF e i codici dei motivi RACF nel registro dell'adattatore. Ad esempio:

ERR:15/05/01 11:48:47 issueRadmin: safRC = 8, racfRC = 8 racfReason = 24, returning rc = 5

È probabile che AdapterID o SURROGATID non disponga dei permessi per tutti i profili richiesti, come descritto in RACF Access Configuration. Informazioni dettagliate su questi codici di ritorno e di motivo sono disponibili nella documentazione di z/OS Security Server RACF Callable Services nel Knowledge Center z/OS.

BSE:_ermAlloc: ERRORE: malloc ERRATO: dimensione 60
L'adattatore interrompe l'elaborazione quando incontra errori durante l'allocazione della memoria.
I seguenti messaggi indicano l'interruzione del processo da parte dell'adattatore:
ERR: racfSearch: La creazione di una voce è fallita 
ERR:racfSearch: riconciliazione ABORTITA

Dopo di che, il messaggio di errore finale viene scritto nel registro dell'adattatore:ERR: "FATAL memory error encountered, shutting down now"

Il server Identity visualizzaFatal error encountered

Gli errori di allocazione della memoria potrebbero essere causati da impostazioni inadeguate della dimensione HEAP del Language Environment (LE).

Le impostazioni della dimensione HEAP possono essere diagnosticate aggiungendo la seguente riga allo script di avvio dell'adattatore:
export _CEE_RUNOPTS='RPTOPTS(ON),RPTSTG(ON)'
Questa riga assicura che il registro delle attività avviato dagli adattatori mostri le allocazioni correnti delle dimensioni dell'heap e le dimensioni minime suggerite.
È possibile utilizzare le seguenti impostazioni generali per l'adattatore RACF :
export _CEE_RUNOPTS='HEAP(80K,8K,ANYWHERE,,1K,1K),AN(1450K,4K,ANY,FREE),AL(ON),
HEAPPOOLS(ON,8,8,16,16,24,17,32,3,56,8,72,3,136,4,296,7,480,3,848,4,2080,,4104,)'

Messaggi dell'adattatore

RACF® Scarico mancante 0102 elaborazione record

Nel caso in cui manchi un record 0102 di scarico del database RACF, per cui il vero valore dell'autorità di connessione non è noto, viene generato <AUTHORITY>USE</AUTHORITY>.

Se manca un record 0102, viene stampato un messaggio che inizia con " Fix0205 " sul SYSPRINT del programma ISIMRECO. Questo messaggio mostra le informazioni sul gruppo e sull'utente per cui viene generata l'autorità predefinita USE.

IRRDBU00 non scarica un record di dati dei membri del gruppo (0102) per ogni utente collegato a un gruppo universale. Solo gli utenti elencati nell'elenco dei membri del gruppo hanno i record 0102. Gli utenti elencati nell'elenco dei membri del gruppo sono quelli con attributi utente a livello di gruppo, come gruppo-SPECIAL, o autorità di gruppo superiore a USE.

L'adattatore non scriverà il fileUnload 0102 record is missingnel registro per i gruppi universali. Questi record dovrebbero mancare per gli utenti che non sono elencati nell'elenco dei membri del gruppo.

Messaggi del server

La tabella seguente contiene le avvertenze o gli errori che potrebbero essere visualizzati sull'interfaccia utente se l'adattatore è installato sulla workstation.
Tabella 1. Messaggi di errore, avvisi e azioni correttive
Messaggio di errore o avviso Avvertenze, messaggi o informazioni aggiuntivi Azione correttiva
Messaggio di errore dell'adattatore: impossibile impostare l'ambiente di sicurezza per SURROGAT. Registro dell'adattatore: ERR:14/07/31 10:42:31 racfModify: pthread_security_np() create failed. errno2=0BE800D8: EDC5139I Il funzionamento non è consentito PERMIT UPDATE access per ISIAGNT su BPX.SERVER in CLASS FACILITY
racfSearch: non è riuscito a creare il thread RECOJOB z/OS® Syslog potrebbe fornire il messaggio AUTORITÀ INSUFFICIENTE Verificare che l'adattatore ID RACF e e ID SURROGAT abbiano accesso in lettura e scrittura alla directory dati READWRITE.
Impossibile impostare l'ambiente di sicurezza per l'utente SURROGAT Non applicabile PERMETTERE l'accesso in lettura a ISIAGNT su BPX.SRV.<SURROGATID> in CLASSE SURROGAT
racfSearch: non è riuscito a creare il thread RECOJOB DETTAGLIO Registro adattatore: tsoCmd: risultato è IKJ56644I NO VALID TSO USERID, DEFAULT USER ATTRIBUTES USED Assicurarsi che l'ADAPTER ID abbia un TSO USERID valido.
CTGIMU107W The connection to the specified service cannot be established. Verify the service information, and try again Si è verificato un errore IO durante l'invio di una richiesta. Errore:Connection refused: connect Assicurarsi che il servizio di assistenza per l'adattatore sia attivo. Per ulteriori informazioni sull'avvio del servizio adattatore, vedere Riavvio del servizio adattatore.
  L'adattatore ha restituito uno stato di errore per una richiesta di binding. Codice di stato: credenziali non valide Messaggio di errore dell'adattatore:Authentication Failed Verificare che l'ID e la password di autenticazione dell'adattatore corrispondano ai valori installati. Vedere la schermata dei parametri specifici dell'adattatore nell'attività Esecuzione della finestra di dialogo ISPF.
  Si è verificato un errore IO durante l'invio di una richiesta. Errore:com.ibm.daml.jndi. JSSESocketConnection .HANDSHAKE_FAILED: Se SSL è abilitato, controllare la configurazione. Vedere Configurazione dell'autenticazione SSL. Il registro dell'adattatore contiene i dettagli dei certificati caricati durante l'inizializzazione.
Aggiunta del nome utente riuscita. Alcuni attributi non sono stati modificati: attr1,attr2 Si è tentato di aggiungere un account utente. Tuttavia, alcuni attributi non vengono impostati durante l'operazione di aggiunta dell'utente. Per ulteriori informazioni, consultare il file di registro dell'adattatore all'indirizzo /var/ibm/isimracf/log/racfagent.log.. Il file di log contiene informazioni sugli attributi non impostati durante l'operazione di aggiunta dell'utente.
Modifica del nome utente Utente riuscita. Alcuni attributi non sono stati modificati: attr1,attr2 Si è tentato di modificare un account utente. Tuttavia, la modifica non è riuscita per alcuni attributi durante l'operazione. Per ulteriori informazioni, consultare il file di registro dell'adattatore all'indirizzo /var/ibm/isimracf/log/racfagent.log. Il file di log contiene informazioni sugli attributi non impostati durante l'operazione di modifica.
CTGIMD812EAn error occurred while processing the adapter response message. The following error occurred. Error: Premature end of file.   Assicurarsi che il servizio di assistenza per l'adattatore sia attivo. Per ulteriori informazioni sull'avvio del servizio adattatore, vedere Riavvio del servizio adattatore
tsoCmd: il risultato è: IL TUO AMMINISTRATORE TSO DEVE AUTORIZZARE L'USO DI QUESTO COMANDO Non applicabile. PERMETTERE l'accesso in lettura per ISIAGNT su JCL in CLASSE TSOAUTH

Ad esempio: PE JCL CLASS(TSOAUTH) ID(ISIAGNT) ACCESS(READ)SETROPTS RACLIST(TSOAUTH) REFRESH
tsoCmd: RECOJOB non è stato presentato tsoCmd: risultato è <stringa risultato>

racfSearch: non è riuscito ad avviare reco_open

 Verificare se la stringa di risultato è un messaggio TSO standard come definito in SYS1.MSGENU(IKJSCHEN).

Se viene implementata un'uscita personalizzata che restituisce un messaggio non standard, escludere il lavoro di riconciliazione da questa uscita.

Un primo passo per risolvere questo problema è semplicemente eseguire tsocmd dalla riga di comando Unix. Ciò dovrebbe portare a:

Sintassi: tsocmd [tsocommand]

Se non funziona, contattare l'amministratore di sistema. Se funziona, copiare la riga di comando dell' tsocmd e che non funziona dal registro dell'adattatore al prompt dei comandi Unix e inviarla manualmente (questo richiede almeno che la registrazione DTL sia abilitata).

Ad esempio, i registri mostrano un errore per il seguente comando:
DTL:23/04/21 11:25:29 Thread:000005 tsoCmd: formatted command is: tsocmd "exec 'CRMBJR1.VERRACF.V10-004.EXEC(ISIMLOKU)' 'CRMBJR1 CRMBJR1.VERRACF.V10-004.LSAVE'" 1> /u/verracf/V10-004/ibm/data/proc.3409928583953426258.err  2>/u/verracf/V10-004/ibm/data/proc.3409928583953426258.out
Copia il comando che inizia con tsocmd, escludendo il reindirizzamento dell'output, e incollalo nella riga di comando Unix:
tsocmd "exec 'CRMBJR1.VERRACF.V10-004.EXEC(ISIMLOKU)' 'CRMBJR1 CRMBJR1.VERRACF.V10-004.LSAVE'"

Qualsiasi errore che viene restituito viene ora mostrato nella console. Fai uno screenshot e caricalo nel caso di supporto se hai bisogno di ulteriore assistenza per risolvere il problema.
LDAP: codice di errore 92   Aumentare le dimensioni del registro delle transazioni.

Vedere DB2 transaction log size.
*BPXI040I PROCESS LIMIT MAXPROCUSER HAS REACHED XX % OF ITS CURRENT CAPACITY OF XX FOR PID=XXX IN JOB ISIAGNT  

Aumenta la quantità di processi disponibili per il logonid dell'adattatore RACF.

Codici di ritorno AT-TLS

Per maggiori dettagli, vedere i codici di ritorno AT-TLS.

RACF Autenticazione SURROGAT ID

L'adattatore utilizza il servizio richiamabile " BPX1PWD " per determinare se i valori " DAML_USER " e " DAML_PASSWORD " specificati nel modulo di servizio sono validi. Se l' ADAPTER ID e dispone di un accesso di tipo " READ " sul profilo per questo account, come definito nella classe " SURROGAT ".

Vedere BPX1PWD, BPX4PWD - Verificare o modificare le informazioni di sicurezza per maggiori dettagli.