Mensagens de erro e resolução de problemas
Uma mensagem de aviso ou de erro pode ser exibida na interface com o usuário para fornecer informações sobre o adaptador ou quando um erro ocorre.
Mensagens de Erro
- Caracteres mínimos da chave de configuração agentCfg
- Não é permitido que uma chave de configuração tenha menos que 5 caracteres. Caso contrário, ao iniciar agentCfg para configurar um adaptador ativo, a mensagem a seguir será exibida:
Configuration key too short - 5 characters minimum. Aborting...
Após a qual o processamento de agentCfg será interrompida.
- Inicialização do arquivo de registro
- Informações adicionais são registradas no syslog z/OS durante a inicialização do adaptador. São sobre a inicialização do arquivo de registro para os cenários a seguir:
- O arquivo de registro configurado no shell script usado para iniciar o adaptador não existe. Neste caso, um novo arquivo de registro é criado
e as seguintes mensagens são gravadas no syslog:
racfAgent: Registry file specified by environment REGISTRY is '<adapter_read_write_home>/data/<adapter_name>.dat' racfAgent: REGISTRY does not exist racfAgent: Creating a new registry file - O arquivo de registro existe, mas não pode ser acessado (por exemplo, permissões de arquivo incorretas).
Nesse caso, o adaptador interrompe a inicialização e as mensagens a seguir são gravadas no syslog:
racfAgent: Registry file specified by environment REGISTRY is '<adapter_read_write_home>/data/<adapter_name>.dat' racfAgent: FATAL ERROR: REGISTRY file open error: EDC5111I Permission denied. racfAgent: can't continue without access to the registry file racfAgent: exiting process - O registro existe, mas o adaptador não pode acessar parte do
caminho. Nesse caso, o adaptador interrompe a inicialização e as mensagens a seguir são gravadas no syslog:
racfAgent: Registry file specified by environment REGISTRY is '<adapter_read_write_home>/data/<adapter_name>.dat' racfAgent: FATAL ERROR: REGISTRY file stat error: EDC5111I Permission denied. racfAgent: can't continue without access to the registry file racfAgent: exiting process - O registro existe, mas não é especificado no shell script que é usado para iniciar o adaptador. Nesse caso, um novo arquivo de registro é criado em /tmp e as mensagens a seguir são gravadas no syslog:
racfAgent: WARNING no REGISTRY file specified by the environment racfAgent: Creating a new registry file racfAgent: Registry to be created is '/tmp/<adapter_name>.dat'
- O arquivo de registro configurado no shell script usado para iniciar o adaptador não existe. Neste caso, um novo arquivo de registro é criado
e as seguintes mensagens são gravadas no syslog:
- Configurações de encadeamento máximo para operações do adaptador
- O número máximo padrão de encadeamentos para todas as operações do adaptador (procurar, modificar, incluir, excluir) é configurado como três na inicialização do adaptador. O número mínimo padrão de encadeamentos para todas as operações do adaptador é definido como um na inicialização do adaptador, desde que ao menos um segmento seja necessário para executar uma operação. O adaptador agora grava mensagens de depuração para o log do adaptador com relação ao número de encadeamentos atualmente ainda disponíveis para executar as novas operações. Isso fornece mais insight em possíveis atrasos relacionados à disponibilidade de encadeamento no processamento.
- Iniciando o adaptador no modo do console
- Para propósitos de depuração, pode ser útil iniciar o adaptador diretamente da linha de comandos no modo de console. Fazer isso fornecerá todas as mensagens que, de outra forma, serão gravadas no syslog ou no log do adaptador a ser exibido no console usado para iniciar o adaptador. Iniciar o adaptador no modo de console pode ser feito executando todos os comandos de exportação, conforme configurado no shell script. O script é usado para iniciar o adaptador para assegurar que todas as bibliotecas estejam disponíveis para ele e, em seguida, executa o comando a seguir para iniciar o adaptador:
/<adapter_readonly_home/lpp/bin/racfAgent -name <adapter_name> -registry <adapter_readwrite_home>/data/<adapter_name>.dat -console - Formulário AES para KERB incluído (e descrição DESD alterada)
- No servidor do Gerenciador de Identidade de Segurança, a descrição para o campo DESD na guia Kerberos estava incorreta. Isso foi corrigido e um novo campo foi incluído para o tipo de criptografia AES, além de suporte para o novo campo no agente RACF.
- Avisos e mensagens de erro
- Todos os erros retornados pelo RACF ao executar comandos RACF usando o serviço de chamada do R_Admin IRRSEQ00 são registrados no log do adaptador. Se um comando não puder ser executado, o adaptador registrará o código de retorno SAF, o código de retorno RACF e os códigos de razão RACF no log do adaptador. Por exemplo:
ERR:15/05/01 11:48:47 issueRadmin: safRC = 8, racfRC = 8 racfReason = 24, returning rc = 5
É provável que o AdapterID ou SURROGATID não tenha permissão para todos os perfis necessários como descrito na configuração de acesso RACF. Informações detalhadas sobre esses códigos de retorno e de razão podem ser localizadas na documentação do z/OS Security Server RACF Callable Services no z/OS Knowledge Center.
- BSE:_ermAlloc: ERROR: malloc FAILED: size 60
- O adaptador para o processamento quando encontra erros durante a alocação de memória. As mensagens a seguir são exibidas para indicar que o adaptador está interrompendo o processo:
ERR: racfSearch: A criação da entrada retornou falha ERR:racfSearch: reconciliação INTERROMPIDA
Após a qual esta mensagem de erro final é gravada no log do adaptador: ERR: "Erro FATAL de memória encontrado, encerrando agora"
O IBM® Security Identity Manager server exibe Erro fatal encontrado
Erros de alocação de memória podem ser causados a partir de configurações de tamanho de HEAP do Language Environment (LE) inadequadas.
As configurações de tamanho de HEAP podem ser diagnosticadas ao incluir a linha a seguir no script de início do adaptador:
Essa linha assegura que o log de tarefa iniciada de adaptadores exiba as alocações de tamanho de heap atuais e os tamanhos mínimos sugeridos.export _CEE_RUNOPTS='RPTOPTS(ON),RPTSTG(ON)'É possível usar as configurações gerais a seguir para o adaptador RACF:export _CEE_RUNOPTS='HEAP(80K,8K,ANYWHERE,,1K,1K),AN(1450K,4K,ANY,FREE),AL(ON), HEAPPOOLS(ON,8,8,16,16,24,17,32,3,56,8,72,3,136,4,296,7,480,3,848,4,2080,,4104,)'
Mensagens do adaptador
- Processamento de registro 0102 ausente do DESCARREGAMENTO do RACF
Caso um registro 0102 de descarregamento do banco de dados RACF esteja ausente, portanto, o valor da autoridade de conexão true é desconhecido, <AUTHORITY>USE</AUTHORITY> é gerado.
Caso um registro 0102 estiver ausente, uma mensagem começando com "Fix0205" é impressa no SYSPRINT do programa ISIMRECO. Esta mensagem mostra as informações de grupo e do usuário para os quais a autoridade padrão USE é gerada.
IRRDBU00 não descarrega um registro de dados de Membros do grupo (0102) para cada usuário conectado a um grupo universal. Somente usuários listados na lista de membros do grupo têm registros 0102. Os usuários listados na lista de membros do grupo são aqueles com atributos de nível de grupo, como group-SPECIAL, ou autoridade de grupo superior a USE.
O adaptador não gravará a mensagem O registro 0102 de descarregamento está ausente no log para grupos universais. Espera-se que esses registros estejam ausentes para usuários não listados na lista de membros do grupo.
Mensagens do servidor
| Mensagem de erro ou aviso | Avisos adicionais, mensagens ou informações | Ação corretiva |
|---|---|---|
| Mensagem de erro do adaptador: não foi possível configurar o ambiente de segurança para SURROGAT. | Log do adaptador: ERR:14/07/31 10:42:31 racfModify: pthread_security_np() falha na criação. errno2=0BE800D8: EDC5139I A operação não permitida | Acesso PERMIT UPDATE para ISIAGNT em BPX.SERVER em CLASS FACILITY |
| racfSearch: falha ao criar o encadeamento RECOJOB | O z/OS Syslog pode fornecer a mensagem INSUFFICIENT AUTHORITY | Verifique se o ID do adaptador RACF e o ID SURROGAT têm acesso de leitura/gravação para o diretório de dados READWRITE. |
| Não foi possível configurar o ambiente de segurança para o usuário SURROGAT. | Não aplicável | Acesso PERMIT READ para ISIAGNT em BPX.SRV.<SURROGATID> em CLASS SURROGAT |
| racfSearch: falha ao criar o encadeamento RECOJOB | DETAIL de log do Adaptador: tsoCmd: O resultado é IKJ56644I NENHUM ID DO USUÁRIO TSO VÁLIDO, ATRIBUTOS PADRÃO DO USUÁRIO FORAM UTILIZADOS | Assegure-se de que o ID do ADAPTER tenha um USERID do TSO válido. |
| CTGIMU107W A conexão com o serviço especificado não pode ser estabelecida. Verifique as informações do serviço e tente novamente | Ocorreu um erro de E/S ao enviar uma solicitação. Erro: Conexão recusada: conectar | Assegure que o serviço do adaptador esteja em execução. Para obter mais informações sobre como iniciar o serviço do adaptador, consulte Reiniciando o serviço do adaptador. |
| O adaptador retornou um status de erro para uma solicitação de ligação. Código de status: mensagem de erro do adaptador de credenciais inválidas: Falha na Autenticação | Verifique se o ID e a senha de autenticação do adaptador correspondem aos valores instalados. Consulte a tela para obter parâmetros específicos do Adaptador na tarefa Executando o diálogo ISPF. | |
| Ocorreu um erro de E/S ao enviar uma solicitação. Erro: com.ibm.daml.jndi. JSSESocketConnection .HANDSHAKE_FAILED: | Se o SSL estiver ativado, verifique a configuração. Consulte o Configurando Autenticação SSL. O log do adaptador contém detalhes sobre os certificados que são carregados durante a inicialização. | |
| Usuário user name incluído com Sucesso. Alguns atributos não foram modificados: attr1,attr2 | Foi feita uma tentativa de incluir uma conta do usuário. No entanto, alguns atributos não são configurados durante a operação de inclusão do usuário. Para obter mais informações, consulte o arquivo de log do adaptador em /var/ibm/isimracf/log/racfagent.log.. O arquivo de log contém informações sobre os atributos que não são configurados durante a operação de inclusão do usuário. | |
| Usuário user name modificado com Sucesso. Alguns atributos não foram modificados: attr1,attr2 | Foi feita uma tentativa de modificar uma conta do usuário. No entanto, essa modificação falhou para determinados atributos durante a operação. Para obter mais informações, consulte o arquivo de log do adaptador em /var/ibm/isimracf/log/racfagent.log. O arquivo de log contém informações sobre os atributos que não são configurados durante a operação de modificação. | |
| CTGIMD812E Ocorreu um erro ao processar a mensagem de resposta do adaptador. Ocorreu o seguinte erro. Erro: Término do arquivo prematuro. | Assegure que o serviço do adaptador esteja em execução. Para obter mais informações sobre como iniciar o serviço do adaptador, consulte Reiniciando o serviço do adaptador. | |
| tsoCmd: o resultado é YOUR TSO ADMINISTRATOR MUST AUTHORIZE USE OF THIS COMMAND | Não aplicável. | Acesso PERMIT READ para ISIAGNT no JCL em CLASS
TSOAUTH Por exemplo: PE JCL CLASS(TSOAUTH) ID(ISIAGNT) ACCESS(READ)SETROPTS RACLIST(TSOAUTH) REFRESH |
| tsoCmd: RECOJOB não foi enviado | tsoCmd: o resultado é <result string> racfSearch: falha ao iniciar reco_open |
Verifique se a sequência de resultados é uma mensagem TSO padrão conforme definido em
SYS1.MSGENU(IKJSCHEN). Se uma saída customizada que retorna uma mensagem não padrão for implementada, exclua a tarefa de reconciliação desta saída. |
| LDAP: código de erro 92 | Aumente o tamanho do log
de transações. Consulte Tamanho do log de transações do DB2. |
|
| *BPXI040I PROCESS LIMIT MAXPROCUSER HAS REACHED XX % OF ITS CURRENT CAPACITY OF XX FOR PID=XXX IN JOB ISIAGNT |
Aumente a quantidade de processos disponíveis para o ID de logon do RACF do adaptador. |