Uvádíme některé z častých chyb při spuštění UST a tipy k jejich řešení
FileNotFoundError: [Errno 2]
Vzor chybového výstupu konzole:
FileNotFoundError: [Errno 2] Žádný takový soubor nebo adresář: 'C:\\Users\\USER\\.pex\\install\\pycryptodome [...]'
Může se objevit ve Windows kvůli cestám s více než 256 znaky.
Tip: Vytvořte proměnnou prostředí s názvem PEX_ROOT s hodnotou C:\pex (pokud se skript spouští z disku C:, nebo odpovídacím způsobem upravte písmeno). Aby se změna projevila, je někdy zapotřebí systém restartovat.
nelze otevřít soubor 'user-sync.pex': [Errno 2]
Ukázka chybového výstupu:
python: nelze otevřít soubor „user-sync.pex“: [Errno 2] Takový soubor nebo adresář neexistuje.
Tip: Ověřte, že příkazový řádek Python spouštíte ze složky, kde je soubor user-sync.pex.
Vypršení časového limitu UMAPI
Ukázka chybového výstupu protokolu:
2018-01-01 11:49:42 28102 VAROVÁNÍ umapi - Časový limit UMAPI... služba není dostupná (kód 429 při pokusu 1)
2018-01-01 11:49:42 28102 VAROVÁNÍ umapi - Další pokus za 42 sekund...
Tip: Pokud je časový limit kratší než 30 minut, tato varovná hlášení se zobrazují, když je dosaženo kvóty volání API v rámci jedné minuty.UST je vybaven mechanismem exponenciálního odkladu, který opakuje volání a prodlužuje dobu mezi pokusy o opakování.Skript se zastaví po třech nezdařených opakováních.
Doporučujeme nechat skript doběhnout až do konce.
Pokud je časový limit delší než 1000 sekund, jedná se o omezení související s frekvencí spouštění každé instance nástroje User Sync Tool.Pokud je zjištěno, že instance je spouštěna častěji, bude omezena na 30 až 75 minut.I když časový limit pouze pozastaví UST na určitou dobu (takže nejde o kritickou chybu zastavení), UST bude vědět, jak se zotavit a pokračovat v synchronizaci hned poté.
Protože skript rozpozná, že jsou spuštěny dvě instance současně, nelze spustit žádnou novou instanci, dokud nedojde ke spuštění původní instance.V takovém případě se v protokolu UST může zobrazit chybová zpráva s odkazem na „proces již probíhá“.
Zde jsou některá doporučení pro nejlepší výkon s ohledem na frekvenci spouštění:
- upravte frekvenci naplánovaných úloh a ujistěte se, že je nastavena tak, aby se opakovala s odstupem alespoň 2 hodin.
- upravte dobu spuštění naplánované úlohy tak, aby se nespustila v čase :00 nebo :30 minut (vyhnete se špičce).
- pokud je nutné nástroj spouštět častěji, zvažte možnost použití UST se strategií push (delta změn) namísto úplné synchronizace.
- přizpůsobte dobu spuštění UST pracovní době vaší organizace, kdy uživatelé potřebují zřízování (např. pokud vaše organizace nepotřebuje provádět zřízování uživatelů v noci, nespouštějte synchronizační úlohy v této době)
error.user.belongs_to_another_org
Vzorová položka protokolu:
2018-01-01 11:49:42 28102 CHYBA umapi.action - Chyba v requestID: action_1 (Uživatel: {'user': 'myuser@domain2.com', 'requestID':'action_1'}, Příkaz: {'createFederatedID': {'email': 'myuser@domain2.com', 'country': 'US', 'option': 'ignoreIfAlreadyExists', 'firstname': 'fname', 'lastname': 'lname'}}): kód: "error.user.belongs_to_another_org" zpráva: "Nelze pozvat uživatele z vlastněného zdroje ověření jiné organizace"
Tip: Doména, která se použila k vytvoření účtu, nemusí být ve vašich organizacích deklarována nebo důvěryhodná.Pro aktivní domény by s v části Konzola pro správu -> Nastavení měl zobrazovat zelený příznak nebo tečka. Pokud tomu tak není, problém může vyřešit dokončení procesu deklarace domény.
Vzorová položka protokolu:
2018-01-01 12:34:23 13383 ERROR umapi.action - Chyba v requestID: action_6 (Uživatel: {'user': 'user@domain.com', 'requestID': 'action_6'}, Command: {"createEnterpriseID":: {"email": "user@domain.com", "option": "updateIfAlreadyExists", "firstname": "test", "lastname": "user", "country": "US"}}): code: type_mismatch" zpráva: "error.user.type_mismatch": "Typ uživatele požadovaný pro pozvánku neodpovídá deklarovanému typu domény"
Tip: je proveden pokus o vytvoření účtu typu federatedID, ale adresář je vytvořen pro použití Enterprise nebo naopak.Vyhledejte atribut user_identity_type v souboru user-sync-config.yml. Změňte hodnotu podle typu adresáře, který se zobrazuje v Konzole pro správu (Nastavení > Identita > Domény > Typ adresáře pro danou doménu).
Vzor chybového výstupu konzole:
Nepodařilo se spustit soubor PEX, chybí kompatibilní závislosti pro:
pyyaml
cryptography
cffi
umapi-client
pycryptodome
pyldap
psutil
user-sync
Tipy:
a) Zkontrolujte, zda jste na svém systému nenainstalovali 32bitovou verzi Python. Tuto 32bitovou verzi odinstalujte a nainstalujte 64bitovou verzi, abyste problém vyřešili.
b) Zkontrolujte, že verze user-sync.pex, kterou jste stáhli z GitHub, odpovídá vaší verzi Python a typu OS. Je například nutné stáhnout user-sync-v2.3-win64-py365.zip pro 64bitový Windows a Python 3.
Používání nejnovější verze jazyka Python není vždy tím nejlepším řešením. Ideální je, aby verze Python odpovídala původně sestavenému souboru .pex. Zjistěte příponu staženého souboru .zip, abyste identifikovali verzi Python, která bude fungovat. Pro příklad nahoře (user-sync-v2.3-win64-py365.zip) lze identifikovat Python 3.6.5.
Chyba dešifrování privátního klíče
Vzorová položka protokolu:
2018-01-01 09:52:23 7920 LADĚNÍ umapi - umapi: čtení dat soukromého klíče ze souboru C:\path\to\private.key
2018-01-01 09:52:23 7920 KRITICKÉ main - umapi configuration.enterprise: Chyba při dešifrování soukromého klíče, buď je heslo nesprávné, nebo: Formát klíče RSA není podporován
Tipy:
a) pokud nelze problém rychle identifikovat, je rychlejší znovu vydat pár klíčů
b) Nepoužívejte atribut umapi_private_key_data, pokud spouštíte skript ve Windows. Místo toho klíč zašifrujte a uložte heslo ve Správci přihlašovacích údajů.
c) Pokud používáte jiný formát, vyzkoušejte RSA256 / 2048bitový privátní klíč
d) Je možné, že jste nastavili secure_priv_key_pass_key: umapi_private_key_passphrase v souboru connector-umapi.yml. V tomto případě zajistěte, aby příslušná položka v Úložišti přihlašovacích údajů odpovídala souvisejícím hodnotám (viz níže).
Žádná hodnota v zabezpečeném úložišti pro uživatele...
Vzorová položka protokolu:
2018-01-01 09:52:23 7920 CRITICAL main - umapi CRITICAL main - umapi configuration.enterprise: V zabezpečeném úložišti není žádná hodnota pro uživatele "someUUIDvalue@AdobeOrg", klíč "umapi_api_key".
Tipy:
a) Chybí položka Úložiště přihlašovacích údajů pro umapi_api_key.. Vytvořte položku v Úložišti přihlašovacích údajů. Pomocnou dokumentaci lze najít zde.
b) Je možné, že tato hodnota byla přidána do Úložiště přihlašovacích údajů pod jiným uživatelským účtem. Pro právě připojeného uživatele ale tato položka chybí. V případě potřeby ji přidejte nebo přepněte uživatele.
error.internal.exceptionflys / error.unauthorized
Ukázka chybového výstupu konzoly:
umapi_client.error.RequestError: Chyba požadavku (401): {"lastPage":false,"result":"error.internal.exceptionflys","message":"Nepodařilo se vyměnit token"}
NEBO
"umapi_client.error.RequestError: Chyba požadavku (401): {"lastPage":false,"result":"error.unauthorized","message":"Nepodařilo se ověřit poskytnutý token"}"
Tip: Je možné, že v Konzola pro správu -> Nastavení -> Nastavení ověřování je vybraná jiná možnost než Nejjednodušší pro uživatele (platnost hesla nikdy nevyprší). Pokud je aktivní možnost Bezpečnější nebo Nejbezpečnější, může dojít k vypršení hesla Technického účtu spojeného s integrací.
Abyste problém vyřešili, musíte vytvořit novou integraci. Zkontrolujte, že k obnovení metadat došlo také v souboru connector-umapi.yml.
Za tímto účelem byla nasazena oprava, která ale může ovlivnit integrace před říjnem 2018.
Nepodařilo se založit nové připojení [Errno 10061]
Ukázka chybového výstupu:
ConnectionError: HTTPSConnectionPool(host='usermanagement.adobe.io', port=443): Překročení maximálního počtu pokusů s url: /v2/usermanagement/users/someUUID@AdobeOrg/0?directOnly=True (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x00000000027B9630>: Nepodařilo se navázat nové připojení: [Errno 10061] Připojení se nepodařilo navázat, protože cílový počítač ho aktivně odmítl',))
Tip:
Souvisí to s tím, že UST se nedokáže připojit k veřejným koncovým bodům API. Místní nastavení může bránit v přístupu v důsledku pravidel brány firewall, serveru proxy blokujícího komunikaci, nastavení účtu pro přístup k internetu a dalších.
V některých situacích může pomoci přidání proměnné prostředí https_proxy s hodnotou jako například:
http://<adresaProxy>:<port> NEBO https://<adresaProxy>:<port>
V ostatních případech může pomoci povolit přístup k těmto koncovým bodům:
ims-na1.adobelogin.com:443
usermanagement.adobe.io:443
Problém lze vyřešit pouze lokálně zrušením přístupu k výše uvedeným koncovým bodům pro spuštěný účet.
Ukázka záznamu v protokolu:
2017-07-07 09:01:37 4916 CRITICAL main - Připojení k org […] na koncovém bodě https://usermanagement.adobe.io/v2/usermanagement selhalo: Nelze autorizovat proti https://ims-na1.adobelogin.com/ims/exchange/jwt: Kód odpovědi: 400, Text odpovědi: {"error_description": "Metaskopy v JWT nejsou podmnožinou metaskopů ve vazbě.", "error": "invalid_scope"}
Tip: Přejděte k integraci, kterou jste vytvořili na stránce https://developer.adobe.com/console/projects, a zkontrolujte nabídku vlevo, kde jsou uvedena API.Ověřte, že API pro Správu uživatelů je přidáno jako služba (uvedeno na seznamu).
Pro kombinaci organizace a technického účtu nebyly nalezeny žádné platné vazby
Vzorová položka protokolu (režim ladění):
2017-07-07 09:01:37 4916 KRITICKÉ main - Připojení UMAPI k ID organizace 'someUUIDvalue@AdobeOrg' selhalo: Nelze autorizovat proti https://ims-na1.adobelogin.com/ims/exchange/jwt:
Kód odpovědi: 400, Text odpovědi: {"error_description":"Pro kombinaci organizace a technického účtu nebyly nalezeny žádné platné vazby","error":"invalid_token"}
Tipy:
a) Důvodem může být, že hodnota tech_acct v souboru connector-umapi.yml odpovídá jiné hodnotě než ID technického účtu uvnitř integrace v https://developer.adobe.com/console/projects. Ověřte hodnotu ID technického účtu ze stávající integrace a zkopírujte ji do tohoto souboru.
b) Příčinou může být také to, že platnost veřejného certifikátu integrace vypršela. Platnost privátního a veřejného klíče prodlužte. Pak veřejný klíč nahrajte a nahraďte starý privátní klíč novým. Ověřte cestu v souboru connector-umapi.yml, aby odkazovala na správný soubor.
c) Zkontrolujte, že integrace byl provedena pro správnou organizaci. Vyberte organizaci v rozevíracím seznamu v levém horním rohu v https://developer.adobe.com/console/projects. Poté ověřte hodnotu ID technického účtu pro aktivní integraci spolu s ostatními metadaty (ID organizace, tajný kód a ID klienta).
SSL: CERTIFICATE_VERIFY_FAILED
Ukázka záznamu v protokolu:
2017-07-07 09:01:37 4916 KRITICKÉ main - Připojení UMAPI k ID organizace 'someUUIDvalue@AdobeOrg' selhalo: [SSL: CERTIFICATE_VERIFY_FAILED] ověření certifikátu selhalo (_ssl.c:661)
Tip: Je to způsobeno inspekcí SSL povolenou na místním serveru proxy
Řešení1: Získejte certifikát CA pro bránu firewall ve formátu PEM (předpokládejme, že jeho název je thecert.crt). Pokud se používá formát DER, převeďte ho na PEM pomocí příkazu openssl:
openssl x509 -inform DER -in thecert.crt -out thecert.pem -outform PEM
Poznámka: Pokud při zobrazení obsahu certifikátu vidíte řetězec kódovaný v base64 mez
-----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----, znamenalo by to, že máte soubor ve formátu PEM.
Následně vytvořte proměnnou prostředí s názvem REQUESTS_CA_BUNDLE a nastavte její hodnotu jako cestu k souboru thecert.pem.
Řešení2: V některých případech bylo v systému Windows zjištěno, že pokud je nástroj spuštěn z jiného ovladače než operační systém a je nainstalován Python, může dojít k této chybě.Řešením může být přesunutí celého skriptu na jednotku, kde je OS.Pokud to není možné, soubor cacert.pem, který obsahuje důvěryhodné kořenové certifikáty CA, se musí použít jak cíl pro proměnnou prostředí REQUESTS_CA_BUNDLE. Pokud server proxy kontroluje přenos SSL, obsah kořenového certifikátu CA musí být zkopírován v souboru cacert.pem pro ověření těchto certifikátů.
Poznámka: Výchozí instalace Python má sadu certifikátů na C:\Python36\Lib\site-packages\certifi\cacert.pem.
3. řešení: Zakažte kontrolu SSL na straně proxy pro koncové body API ims-na1.adobelogin.com a usermanagement.adobe.io
Nebylo nalezena žádná skupina [...]
Vzorová položka protokolu:
01-01-2018 09:01:37 4916 VAROVÁNÍ ldap – Nebyla nalezena žádná skupina pro: Name_Of_The_Group
Tipy:
a) Tato skupina není k dispozici v LDAP se stejným názvem; napravte to přidáním správného názvu LDAP skupiny
b) Skupinu nelze zjistit v deklarovaném prvku base_dn (viz soubor connector-ldap.yml). Změňte hodnotu base_dn tak, aby obsahovala zmíněnou skupinu (obvykle se vyskytuje, když base_dn poukazuje na určitou organizační jednotku místo toho, aby byla co nejširší).
Vzorová položka protokolu:
01-01-2018 11:25:45 1 CHYBA umapi.action – Chyba v requestID: action_1 (Uživatel: {'user': 'myuser@domain.com', 'useAdobeID': True, 'requestID': 'action_1'}, Příkaz: {'add': {'product': ['group_name']}}): kód: „error.group.not_found“ zpráva: „Skupina my_group_name nebyla nalezena“
Tip: Skupina uživatelů group_name ve výstupu výše neexistuje na straně Adobe, takže ji budete muset vytvořit. Pokud zamýšlíte namísto skupiny uživatelů nastavit název PLC, podívejte se na tuto stránku dokumentace, kde je názornější vysvětlení.
Vzorová položka protokolu:
2018-09-05 10:58:08 96329 KRITICKÉ main - Připojení k organizaci some_Org_UUID@AdobeOrg na koncovém bodě https://usermanagement.adobe.io/v2/usermanagement selhalo: dlopen(/Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so, 2): Knihovna nebyla načtena: /usr/local/opt/openssl/lib/libssl.1.0.0.dylib
Odkazováno z: /Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so
Důvod: obraz nebyl nalezen
2018-09-05 10:58:08 96329 INFO main - ========== Konec běhu (verze User Sync: 2.3) (Celkový čas: 0:00:00)
Tip: Tato chyba byla zaznamenána na systému macOS High Sierra při používání UST v2.3 s Python 3.7.0.Spuštění příkazu brew install openssl v Terminálu tento konkrétní scénář vyřešilo.
Nelze vytvořit osobu pro typ 2 nebo 3 [...]
Vzorová položka protokolu:
28-07-2019 07:17:51 2220 CHYBA umapi.action - Chyba v requestID: action_1 (Uživatel: {'user': 'user@claimed-domain.com', 'requestID': 'action_1'}, Příkaz: {'createFederatedID': {'email': 'user@claimed-domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'First', 'lastname': 'Last', 'country': 'US'}}): kód: „error.internal.create_failed“ zpráva: „Nelze vytvořit osobu pro typ 2 nebo 3.Výsledek Renga je NOT_ALLOWED, Zdroj je spravován externě a tokenu chybí účel GROUP_SOURCE_UPDATE.“
Někdy doménu @claimed-domain.com vlastní jiná organizace, která nastavila konektor Azure nebo Google pro správu synchronizace účtů na Konzoli pro správu. Stejná doména je pak svěřena jiné organizaci, která používá nástroj pro synchronizaci uživatelů k synchronizaci účtů ve formátu @claimed-domain.com
Příčina: Protokolovaná zpráva se zobrazí, když nástroj synchronizace extrahuje účet
user@claimed-domain.com ze serveru LDAP, aby vytvořil sekundární organizaci. Účet ale ještě není vytvořen/synchronizován do hlavní organizace pomocí konektoru Azure nebo Google.
Tip: Pokuste se účet user@claimed-domain.com vytvořit/synchronizovat v organizaci pomocí konektoru Azure nebo Google; pak opět zkuste synchronizaci s UST v důvěryhodné organizaci.
Neočekávané selhání LDAP při čtení [...]
Vzorová položka protokolu:
05-09-2018 10:58:08 96329 6348 KRITICKÉ main – Neočekávané selhání LDAP při čtení informací o skupině: {'desc': 'Referral', 'info': 'Referral:\nldap://domain.local/DC=sub,DC=domain,DC=local'}
Možná příčina: Relevantní skupina(y) je umístěna v subdoméně, ale hodnota hostitele odpovídá jedné z kořenových domén.
Tip: Změňte hostitele na jednu ze subdomén, kde se nachází skupina(y) uživatelů. Pokud jsou relevantní uživatelé nebo skupiny umístěny jak v kořenové doméně, tak subdoméně (subdoménách), použijte na kořenovou doménu port globálního katalogu. Upravte skupiny v subdoménách tak, aby byly univerzální namísto globálních. Příklad hodnoty hostitele využívající globální katalog: ldap://domain.local:3268 nebo ldaps://domain.local:3269
V posledním scénáři, pokud se používá port globálního katalogu, ověřte, že hodnota base_dn nepřebírá žádnou hodnotu:
base_dn: ""
error.organization.invalid_id
Vzorová položka protokolu:
20-08-2020 12:00:00 1892 CHYBA main –Neošetřená výjimka
raise RequestError(result)
umapi_client.error.RequestError: Chyba požadavku (401): {„lastPage“:false,„result“:„error.organization.invalid_id“,
„message“:„UNAUTHORIZED“}
Tato chyba byla pozorována u starších integrací.
Řešení: vytvořte novou integraci (nebo projekt) na https://developer.adobe.com/console/projects, vedle stávající, používané pro stejný účel.Nová integrace poskytne nové přihlašovací údaje, proto je nezapomeňte aktualizovat v souboru connector-umapi.yml.Je velmi pravděpodobné, že bude nutné znovu vydat keypair (soukromý/veřejný klíč), proto je třeba novým soukromým klíčem nahradit ten stávající.
Nelze vytvořit osobu typu createFederatedID
Vzorová položka protokolu:
01-01-2021 18:00:00 14063 CHYBA umapi.action – Chyba v requestID: action_19 (Uživatel: {'user': 'some_user', 'domain': some.domain', 'requestID': 'action_19'}, Příkaz: {'createFederatedID': {'email': 'some_user@some.domain', 'option': 'ignoreIfAlreadyExists', 'firstname': 'FName', 'lastname': 'LName, 'country': 'GB'}}): kód: „error.internal.create_failed“ zpráva: „Nelze vytvořit osobu typu createFederatedID“
Toto je obecná chyba pro více příčin, ale obvyklým problémem je, že doména použitá v akci vytvoření je pod vlivem nastavení synchronizace Azure nebo Google.
Jak to zkontrolovat: přihlaste se do Admin Console s účtem správce systému, poté klikněte na nabídku Nastavení, poté klikněte uvnitř adresáře, který obsahuje doménu, a poté klikněte na kartu nabídky Synchronizace.
Je v nabídce Synchronizace přítomna karta Zdroj synchronizace?
Pokud Ano, řešení závisí na tom, jak by měla synchronizace pokračovat dále:
-> pokud by synchronizaci měl provádět konektor Azure nebo Google, pokračujte v nastavení Zdroje synchronizace a zcela odstraňte UST
-> pokud by synchronizaci měl provádět UST, klikněte na tlačítko „Přejít na Nastavení“ a klikněte na tlačítko „Odebrat synchronizaci“ ve spodní části stránky; UST by poté měl začít fungovat jako obvykle
Pokud Ne, může to být tím, že současný UST běží proti konzoli, ve které je doména v otázce svěřena z jiné konzole (vlastnící Org).Tato jiná organizace může mít zapnutou synchronizaci Azure nebo Google, což by mohlo vést k současné chybě.Řešením v tomto případě je nejprve synchronizovat účet ve vlastnící organizaci/konzoli a poté použít UST k vytvoření/přidání účtu v aktuální konzoli.
Pokud žádná z výše uvedených situací neodpovídá aktuálnímu scénáři, je nejlepší kontaktovat Podnikovou podporu.
