Luettelo yleisistä virheistä UST:n suorittamisen aikana ja vihjeitä niiden ratkaisemiseksi
FileNotFoundError: [Errno 2]
Esimerkki konsolin virheilmoituksesta:
FileNotFoundError: [Errno 2] No such file or directory: 'C:\\Users\\USER\\.pex\\install\\pycryptodome [...]'
Voidaan näyttää Windowsissa, jos polkujen pituus on yli 256 merkkiä.
Vihje: Luo ympäristömuuttuja PEX_ROOT, jonka arvo on C:\pex (jos komentosarja suoritetaan C:-asemalta; muutoin vaihda kirjainta aseman mukaan). Toisinaan järjestelmä on käynnistettävä uudelleen, jotta muutos tulee voimaan.
can't open file 'user-sync.pex': [Errno 2]
Esimerkki konsolin virheilmoituksesta:
python: can't open file 'user-sync.pex': [Errno 2] No such file or directory
Vihje: Varmista, että suoritat python-komentorivin siitä kansiosta, jossa user-sync.pex sijaitsee.
Esimerkki konsolin virheilmoituksesta:
2018-01-01 11:49:42 28102 WARNING umapi - UMAPI timeout...service unavailable (code 429 on try 1)
2018-01-01 11:49:42 28102 WARNING umapi - Next retry in 42 seconds...
Vihje: Nämä varoitusviestit ovat normaaleja. Kun palvelin on varattu, se vastaa 429 HTTP -koodilla, joten ongelma saattaa ratketa uudella yrittämällä. UST:n ominaisuuksiin sisältyy mekanismi, joka yrittää kutsua uudelleen eksponentiaalisesti vähenevällä tiheydellä. Komentosarja pysähtyy kolmen epäonnistuneen uudelleenyrityksen jälkeen.
error.user.belongs_to_another_org
Esimerkki lokimerkinnästä (virheenkorjaustila):
2018-01-01 11:49:42 28102 ERROR umapi.action - Error in requestID: action_1 (User: {'user': 'myuser@domain2.com', 'requestID':'action_1'}, Command: {'createFederatedID': {'email': 'myuser@domain2.com', 'country': 'US', 'option': 'ignoreIfAlreadyExists', 'firstname': 'fname', 'lastname': 'lname'}}): code: "error.user.belongs_to_another_org" message: "Illegal to invite user from another organization's owned auth src"
Vinkki: Tilin luomiseen käytetty verkkotunnus ei välttämättä ole organisaatioidesi varaama tai luottama. Aktiivisten verkkotunnusten kohdalla pitäisi näkyä vihreä lippu tai piste kohdassa Admin Console -> Settings (Asetukset). Jos näin ei ole, verkkotunnuksen varausprosessin viimeisteleminen voi ratkaista asian.
Esimerkki lokimerkinnästä (virheenkorjaustila):
2018-01-01 12:34:23 13383 ERROR umapi.action - Error in requestID: action_6 (User: {'user': ‘user@domain.com’, 'requestID': 'action_6'}, Command: {'createEnterpriseID': {'email': 'user@domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'test', 'lastname': 'user', 'country': ‘US’}}): code: "error.user.type_mismatch" message: "The user type requested for the invite does not match the claimed domain type"
Vihje: Yritetään luoda federatedID-tyyppinen tili, mutta hakemisto luodaan yrityskäyttöön tai päinvastoin. Etsi attribuuttia user_identity_type tiedostosta user-sync-config.yml. Muokkaa arvoa Admin Consolessa näkyvän hakemistotyypin mukaan (annetun verkkotunnuksen Settings (Asetukset) > Identity (Identiteetti) > Domains (Verkkotunnukset) > Directory type (Hakemistotyyppi) -arvo).
Esimerkki lokimerkinnästä (virheenkorjaustila):
Esimerkki konsolin virheilmoituksesta:
Failed to execute PEX file, missing compatible dependencies for:
pyyaml
cryptography
cffi
umapi-client
pycryptodome
pyldap
psutil
user-sync
Vihjeitä:
a) Tarkista, onko järjestelmään asennettu Python-versio 32-bittinen. Ratkaise ongelma poistamalla 32-bittinen asennus ja asentamalla 64-bittinen versio.
b) Tarkista, vastaako GitHubista lataamasi user-sync.pex-versio Python-versiotasi ja käyttöjärjestelmäsi tyyppiä. Esimerkki: user-sync-v2.3-win64-py365.zip on oikea lataus 64-bittiselle Windowsille ja Python 3:lle.
Uusimman Python-version käyttö ei ole aina hyvä idea. On suositeltavaa käyttää sitä Python-versiota, jolla .pex koottiin. Ladatun .zip-tiedoston loppuliite kertoo, mikä Python-versio toimii parhaiten. Yllä annetussa esimerkissä (user-sync-v2.3-win64-py365.zip) loppuliite viittaa versioon Python 3.6.5.
Error decrypting private key
Esimerkki lokimerkinnästä (virheenkorjaustila):
2018-01-01 09:52:23 7920 DEBUG umapi - umapi: reading private key data from file C:\path\to\private.key
2018-01-01 09:52:23 7920 CRITICAL main - umapi configuration.enterprise: Error decrypting private key, either the password is wrong or: RSA key format is not supported
Vihjeitä:
a) Joskus yksityinen avain voi sisältää päiväämättömiä merkkejä tai tyhjiä rivejä, jotka on lisätty vahingossa. Kokeile poistaa tyhjät rivit tai luoda yksityinen ja julkinen avain uudelleen.
b) Älä käytä attribuuttia umapi_private_key_data, jos suoritat komentosarjaa Windowsissa. Salaa sen sijaan avain ja tallenna salasana tunnistetietojen hallintasovellukseen.
c) Kokeile 2 048-bittistä yksityistä RSA256-avainta, jos käytät eri muotoa.
d) On mahdollista määrittää secure_priv_key_pass_key: umapi_private_key_passphrase connector-umapi.yml-tiedostossa. Varmista tällöin, että tunnistetietosäilön tätä koskeva merkintä ja siihen liittyvät arvot vastaavat toisiaan (katso alla).
No value in secure storage for user...
Esimerkki lokimerkinnästä (virheenkorjaustila):
2018-01-01 09:52:23 7920 CRITICAL main - umapi CRITICAL main - umapi configuration.enterprise: No value in secure storage for user "someUUIDvalue@AdobeOrg", key "umapi_api_key"
Vihjeitä:
a) Tunnistetietosäilöstä voi puuttua umapi_api_key-arvo. Luo tunnistetietosäilöön merkintä. Ohjeet tähän on täällä.
b) Voi olla, että arvo on lisätty tunnistetietosäilöön eri käyttäjätiliä käyttäen. Tällä hetkellä kirjautuneen käyttäjän kohdalta tämä merkintä kuitenkin puuttuu. Lisää se tarvittaessa tai vaihda käyttäjätiliä.
error.internal.exceptionflys / error.unauthorized
Esimerkki konsolin virheilmoituksesta:
umapi_client.error.RequestError: Request Error (401): {"lastPage":false,"result":"error.internal.exceptionflys","message":"Failed to exchange token"}
OR
"umapi_client.error.RequestError: Request Error (401): {"lastPage":false,"result":"error.unauthorized","message":"Failed to authenticate provided token"}"
Vihje: Voi olla, että kohdassa Admin Console -> Settings (Asetukset) -> Authentication Settings (Todennusasetukset) on valittu muu asetus kuin Easiest for Users (Käyttäjille helpoin) (salasana ei vanhene koskaan). Jos More Secure (Turvallisempi)- tai Most Secure (Turvallisin) -asetus on valittu, integrointiin liitetyn teknisen tilin salasana voi vanhentua.
Ongelman ratkaisemiseksi on luotava uusi integrointi. Tarkista, että myös connector-umapi.yml-tiedoston metatiedot uusitaan.
Tätä varten otettiin käyttöön korjaus, mutta ongelma voi vaikuttaa ennen lokakuuta 2018 luotuihin integrointeihin.
Failed to establish a new connection [Errno 10061]
Esimerkki konsolin virheilmoituksesta:
ConnectionError: HTTPSConnectionPool(host='usermanagement.adobe.io', port=443): Max retries exceeded with url: /v2/usermanagement/users/someUUID@AdobeOrg/0?directOnly=True (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x00000000027B9630>: Failed to establish a new connection: [Errno 10061] No connection could be made because the target machine actively refused it',))
Vihje:
Virhe liittyy siihen, että UST ei pysty muodostamaan yhteyttä julkisiin API-päätepisteisiin. Paikalliset asetukset voivat estää käytön esimerkiksi palomuurisääntöjen, välityspalvelimen liikenteeneston tai internet-yhteyden tiliasetuksien vuoksi.
Joissakin tapauksissa näiden kahden ympäristömuuttujan lisääminen auttaa:
http_proxy ja siihen liittyvä arvo, joka on muotoa http://<host proxy>:<port>
https_proxy ja siihen liittyvä arvo, joka on muotoa https://<host proxy>:<port>.
Muussa tapauksessa seuraavien päätepisteiden käytön salliminen voi auttaa:
ims-na1.adobelogin.com:443
usermanagement.adobe.io:443
Ongelma voidaan ratkaista vain paikallisesti sallimalla yllä mainittujen päätepisteiden käyttö käytössä olevalle tilille.
Esimerkki lokimerkinnästä (virheenkorjaustila):
2017-07-07 09:01:37 4916 CRITICAL main - Connection to org [...] at endpoint https://usermanagement.adobe.io/v2/usermanagement failed: Unable to authorise against https://ims-na1.adobelogin.com/ims/exchange/jwt: Response Code: 400, Response Text: {"error_description":"The metascopes in the JWT are not a subset of the metascopes in the binding.","error":"invalid_scope"}
Vihje: Avaa osoitteessa https://console.adobe.io/projects luomasi integrointi ja tarkista vasemmanpuoleinen valikko, jossa on luoteltu APIt. Varmista, että User Management API on lisätty palveluna (näkyy luettelossa).
No valid bindings were found for organization and technical account combination
Esimerkki lokimerkinnästä (virheenkorjaustila):
2017-07-07 09:01:37 4916 CRITICAL main - UMAPI connection to org id 'someUUIDvalue@AdobeOrg' failed: Unable to authorize against https://ims-na1.adobelogin.com/ims/exchange/jwt:
Response Code: 400, Response Text: {"error_description":"No valid bindings were found for organization and technical account combination","error":"invalid_token"}
Vihjeitä:
a) Syynä voi olla se, että tech_acct-arvo connector-umapi.yml-tiedostossa vastaa muuta arvoa kuin teknisen tilin tunnusta integroinnissa osoitteessa https://console.adobe.io. Tarkista teknisen tilin tunnuksen arvo nykyisestä integroinnista ja kopioi se tähän tiedostoon.
b) Syynä voi olla myös se, että integroinnin julkinen varmenne on vanhentunut. Uusi yksityinen ja julkinen avain. Lataa sitten julkinen avain palvelimelle ja korvaa vanha yksityinen avain uudella. Varmista, että polku tiedostossa connector-umapi.yml osoittaa oikeaan tiedostoon.
c) Tarkista, onko integrointi tehty oikeaa organisaatiota varten. Valitse organisaatio oikean yläkulman avattavasta luettelosta osoitteessa https://console.adobe.io/integrations. Tarkista sitten aktiivisen integroinnin teknisen tilin tunnuksen arvo yhdessä muiden metatietojen kanssa (organisaatiotunnus, salaisuus ja asiakastunnus).
SSL: CERTIFICATE_VERIFY_FAILED
Esimerkki lokimerkinnästä (virheenkorjaustila):
2017-07-07 09:01:37 4916 CRITICAL main - UMAPI connection to org id 'someUUIDvalue@AdobeOrg' failed: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:661)
Vihje: Syynä voi olla se, että jokin SSL-tarkistus on käytössä välityspalvelimella (paikallisen ympäristön asetus)
Ratkaisu 1: Hanki palomuurin myöntäjän varmenne PEM-muodossa (sen nimi on oletettavasti thecert.crt). Jos käytetään DER-muotoa, muunna se PEM-muotoon käyttämällä openssl-komentoa:
openssl x509 -inform DER -in thecert.crt -out thecert.pem -outform PEM
Huomautus: Jos et ole varma, onko .crt-tiedosto jo PEM-muodossa, suorita ensin nämä komentorivit ja katso, mikä niistä epäonnistuu.
openssl x509 -text -inform DER -in thecert.crt
openssl x509 -text -inform PEM -in thecert.crt
Jos DER-komentorivi epäonnistuu, tiedosto on jo PEM-muodossa. Nimeä silloin thecert.crt uudelleen nimellä thecert.pem. Muussa tapauksessa muunna se PEM-muotoon käyttämällä yllä olevista openssl-komentoriveistä ensimmäistä.
Luo seuraavaksi ympäristömuuttuja nimeltä REQUESTS_CA_BUNDLE ja anna sen arvoksi polku thecert.pem-tiedostoon.
Ratkaisu 2: Windowsissa esiintyy tapauksia, joissa työkalu suoritetaan asemalta, joka on eri kuin se, johon käyttöjärjestelmä ja Python on asennettu. Tällaisessa tapauksessa se ei saavuta luotettujen varmenteiden päämyöntäjien varmenteiden pakettia. Koko komentosarjan siirtäminen käyttöjärjestelmän kanssa samaan asemaan voi ratkaista ongelman. Jos se ei ole mahdollista, REQUESTS_CA_BUNDLE-ympäristömuuttujan kohteena on käytettävä kaikki luotetut varmenteiden päämyöntäjät sisältävää cacert-tiedostoa. Jos välityspalvelin tarkistaa SSL-liikenteen, varmenteen päämyöntäjän varmenteen sisältö on kopioitava cacert.pem-tiedostoon varmenteiden tarkistamiseksi.
Huomautus: Python-oletusasennuksessa varmennepaketti sijaitsee kohteessa C:\Python36\Lib\site-packages\certifi\cacert.pem.
Ratkaisu 3: Poista SSL-tarkistus API-päätepisteiden ims-na1.adobelogin.com ja usermanagement.adobe.io osalta käytöstä välityspalvelimessa.
Esimerkki lokimerkinnästä (virheenkorjaustila):
2018-01-01 09:01:37 4916 WARNING ldap - No group found for: Name_Of_The_Group
Vihjeitä:
a) Tämännimistä ryhmää ei ole olemassa LDAP:ssä. Ratkaise ongelma lisäämällä ryhmän oikea LDAP-nimi.
b) Ryhmä ei ole löydettävissä ilmoitetulla base_dn-arvolla (katso connector-ldap.yml-tiedosto). Muuta base_dn-arvoa niin, että se sisältää mainitun ryhmän (ilmenee pääasiassa silloin, kun base_dn osoittaa OU:hun).
Esimerkki lokimerkinnästä (virheenkorjaustila):
2018-01-01 11:25:45 1 ERROR umapi.action - Error in requestID: action_1 (User: {'user': 'myuser@domain.com', 'useAdobeID': True, 'requestID': 'action_1'}, Command: {'add': {'product': ['group_name']}}): code: "error.group.not_found" message: "Group my_group_name was not found"
Vihje: Adobella ei ole olemassa yllä olevassa ilmoituksessa mainittua käyttäjäryhmää group_name, joten voit luoda sen. Jos tarkoituksena oli asettaa PLC:n nimi käyttäjäryhmän sijasta, katso kuvaavammat ohjeet tältä ohjesivulta.
Esimerkki lokimerkinnästä (virheenkorjaustila):
2018-09-05 10:58:08 96329 CRITICAL main - Connection to org some_Org_UUID@AdobeOrg at endpoint https://usermanagement.adobe.io/v2/usermanagement failed: dlopen(/Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so, 2): Library not loaded: /usr/local/opt/openssl/lib/libssl.1.0.0.dylib
Referenced from: /Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so
Reason: image not found
2018-09-05 10:58:08 96329 INFO main - ========== End Run (User Sync version: 2.3) (Total time: 0:00:00)
Vihje: Tämä virhe todettiin macOS High Sierra -käyttöjärjestelmässä, kun käytössä oli UST 2.3 ja Python 3.7.0. Komennon brew install openssl suorittaminen Päätteessä korjasi virheen tässä tapauksessa.
Could not create person for type 2 or 3 [...]
Esimerkki lokimerkinnästä (virheenkorjaustila):
2019-07-28 07:17:51 2220 ERROR umapi.action - Error in requestID: action_1 (User: {'user': 'user@claimed-domain.com', 'requestID': 'action_1'}, Command: {'createFederatedID': {'email': 'user@claimed-domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'First', 'lastname': 'Last', 'country': 'US'}}): code: "error.internal.create_failed" message: "Could not create person for type 2 or 3. Renga result is NOT_ALLOWED, Resource is externally managed and token is missing the GROUP_SOURCE_UPDATE purpose."
Toisinaan @varattu-verkkotunnus.com kuuluu eri organisaatiolle, joka on ottanut käyttöön Azure- tai Google-liittimen tilien Admin Console -synkronoinnin hallintaa varten. Tämä sama verkkotunnus luovutetaan sitten toiselle organisaatiolle, joka käyttää User Sync Tool -työkalua @varattu-verkkotunnus.com-muotoisten tilien synkronoimiseen
Syy: Kirjattu viesti näytetään, kun synkronointityökalu purkaa
käyttäjä@varattu-verkkotunnus.com-tilin LDAP-palvelimelta luodakseen sen toissijaisessa organisaatiossa. Tiliä ei kuitenkaan ole vielä luotu tai synkronoitu pääorganisaatioon Azure- tai Google-liittimen kautta.
Vihje: Kokeile luoda tai synkronoida käyttäjä@varattu-verkkotunnus.com -tili organisaatioon Azure- tai Google-liitintä käyttämällä ja yritä sitten synkronoida uudelleen luotetun organisaation UST:n kanssa.
Unexpected LDAP failure reading [...]
Esimerkki lokimerkinnästä (virheenkorjaustila):
2018-09-05 10:58:08 96329 6348 CRITICAL main - Unexpected LDAP failure reading group info: {'desc': 'Referral', 'info': 'Referral:\nldap://domain.local/DC=sub,DC=domain,DC=local'}
Mahdollinen syy: Kiinnostuksen kohteena olevat ryhmät sijaitsevat alitoimialueella, mutta isännän arvo on jokin päätoimialueista.
Vihje: Vaihda isännän arvoksi se alitoimialue, jossa käyttäjäryhmät sijaitsevat. Jos kiinnostuksen kohteena olevat käyttäjät tai ryhmät sijaitsevat sekä päätoimialueella että sen alitoimialueilla, käytä päätoimialueen yleistä luetteloporttia. Muokkaa alitoimialueiden ryhmiä siten, että niiden arvo on Universal (Universaali), ei Global (Yleinen). Esimerkki yleistä luetteloporttia käyttävästä isännän arvosta: ldap://domain.local:3268 tai ldaps://domain.local:3269
Jos jälkimmäisessä tilanteessa käytetään yleistä luetteloporttia, varmista, että base_dn-arvolla ei ole arvoa:
base_dn: ""
