Solución de problemas

Faltan permisos de usuario

Un administrador debe otorgar acceso de seguridad a los usuarios mediante sentencias de política. Se necesita autorización tanto si utiliza la consola como la API de la REST con un SDK o la CLI. Si obtiene un mensaje que le informa si no tiene permiso o no lo tiene autorizado, verifique con su administrador de arrendamiento de OCI el tipo de acceso que tiene y en qué compartimento debe trabajar.

Política de ejemplo para gestores de conexiones de Database Tools:

allow group <group_name> to use virtual-network-family in compartment <compartment_name>
allow group <group_name> to read database-family in compartment <compartment_name>
allow group <group_name> to read autonomous-database-family in compartment <compartment_name>
allow group <group_name> to use vaults in compartment <compartment_name>
allow group <group_name> to use keys in compartment <compartment_name>
allow group <group_name> to manage secret-family in compartment <compartment_name>
allow group <group_name> to use database-tools-family in compartment <compartment_name>
allow group <group_name> to manage database-tools-connections in compartment <compartment_name>
allow group <group_name> to use database-tools-connections in compartment <compartment_name> 
where target.resource.id != <dbtools-connection-ocid>

Consulte también lo siguiente:

• Políticas de IAM para conexiones de Oracle Database
• Políticas de IAM para conexiones de MySQL Database

Compartimento incorrecto especificado

En la consola, asegúrese de seleccionar el compartimento que contiene la conexión de Database Tools o el punto final privado con el que desea trabajar. Además, asegúrese de que un administrador le haya otorgado acceso a los recursos de Database Tools en ese compartimento. El compartimento en el que ha creado una conexión puede ser diferente de los compartimentos que contienen la instancia de destino de Autonomous Database, la base de datos de Oracle o el sistema de base de datos MySQL.

Revise las causas comunes de los problemas con las nuevas conexiones de Database Tools.

La entrada de usuario o el estado de usuario de la base de datos son incorrectos

Para crear una nueva conexión se necesitan entradas o selecciones de un usuario durante el proceso de creación. Compruebe que los siguientes detalles se han seleccionado o introducido correctamente para la conexión:

• Cadena de conexión, host y puerto TCP
• Usuario de Base de Datos
• Contraseña de base de datos almacenada en el servicio Vault
• Archivo de cartera almacenado en el servicio Vault

El usuario de la base de datos debe tener un estado válido. Verifique lo siguiente para esta conexión:

• El usuario de la base de datos tiene todos los privilegios o permisos de base de datos necesarios
• La contraseña del usuario de la base de datos no ha caducado
• La cuenta del usuario de la base de datos no se ha bloqueado o desactivado

Si es posible, confirme si el usuario de la base de datos puede acceder a la base de datos con la misma cadena de conexión y detalles de autenticación mediante otras herramientas como Cloud Shell, SQLcl o mysqlsh a través del bastión.

Consulte Uso de la consola de Oracle Cloud Infrastructure para obtener más información sobre la visualización o gestión de una conexión.

Configuración de red incorrecta

El servicio Database Tools le permite conectarse a bases de datos de su arrendamiento mediante el enrutamiento seguro del tráfico de red a través de una red virtual en la nube (VCN) de Oracle Cloud Infrastructure. Una vez que se ha configurado una VCN, una subred, gateways aplicables, tablas de rutas y listas de seguridad o grupos de seguridad de red, las conexiones a Database Tools se pueden configurar para conectarse a la base de datos.

Si encuentra errores relacionados con el timeout de conexión o de red o hosts de base de datos inaccesibles, puede que necesite revisar lo siguiente:

• Asegúrese de que los puntos finales privados están configurados para acceder a las bases de datos de su subred privada, si procede.
• Confirme que la configuración de la VCN permite que el tráfico del servicio Database Tools llegue a la base de datos de la subred de destino en la dirección IP y el puerto TCP especificados.
• Para ADB compartida mediante una dirección IP pública con lista de control de acceso (ACL), confirme que las reglas de ACL para las direcciones permitidas o los bloques de CIDR permitidos estén configurados correctamente.
• Para las bases de datos Oracle o MySQL gestionadas por el cliente, los firewalls que se ejecutan en el sistema operativo host generalmente requieren reglas para permitir que el tráfico de red llegue a puertos TCP específicos de la base de datos.
• Si se configuran los atributos de seguridad y las políticas de enrutamiento de paquetes de confianza cero (ZPR), verifique que los atributos necesarios estén asignados correctamente a los recursos relevantes, como los puntos finales privados y las redes virtuales en la nube de Database Tools. Asegúrese también de que las políticas de ZPR hagan referencia a los recursos correctamente. La validación falla con un error de timeout genérico si faltan valores o no están configurados correctamente. Para obtener más información, consulte Zero Trust Packet Routing Policy.

Consulte Uso de puntos finales privados con herramientas de base de datos para más información sobre el uso de puntos finales privados. Consulte Visión general de redes virtuales en la nube y subredes para obtener más información sobre la configuración de redes virtuales en la nube.

Estado/configuración de base de datos incorrectos

El servicio Database Tools no gestiona la configuración de la base de datos ni el servicio de base de datos. Consulte al administrador de la base de datos para asegurarse de que la base de datos destino:

• Se ha configurado e iniciado correctamente.
• Está aceptando nuevas conexiones.

Usuario de proxy no autorizado para conectarse como cliente de proxy

El servicio Database Tools proporciona soporte de sesión de proxy para las conexiones de Oracle Database. Es decir, conéctese a otros usuarios de base de datos sin conocer sus contraseñas mediante usuarios proxy.

Si encuentra un error relacionado con el usuario representante, puede que necesite revisar lo siguiente:

• Configure correctamente las cuentas de usuario proxy y autorice a los usuarios a conectarse a través de ellas. Consulte la documentación sobre autenticación de usuario proxy y conexión mediante bases de datos Oracle.
• Active la autenticación de proxy y configure el nombre de usuario y la contraseña de la base de datos del cliente proxy.
• Asegúrese de que el nombre de usuario y la contraseña de la base de datos del cliente proxy sean correctos.

Permiso de usuario revocado o modificado

Es posible que las políticas de IAM, las afiliaciones a grupos o los privilegios de usuario de base de datos hayan cambiado después de crear una conexión. Consulte al administrador del arrendamiento y al administrador de la base de datos para confirmar:

• El usuario de OCI no ha perdido el acceso debido a cambios de miembros de grupo, cambios de política de IAM o cambios de compartimento.
• El usuario de la base de datos no ha perdido el acceso debido a cambios de rol o privilegio.

Configuración de red cambiada

Si una conexión de Database Tools pudo comunicarse anteriormente con una base de datos, pero de repente informa problemas relacionados con la red, es posible que se deba al estado de la base de datos o a cambios posteriores de configuración de la VCN.

• Confirme que el servicio de base de datos se está ejecutando y acepta conexiones TCP.
• Confirme si se han realizado cambios en la subred de destino o la configuración de la VCN.
• Confirme que la configuración de la VCN permite que el tráfico del servicio Database Tools llegue a la base de datos de la subred de destino en la dirección IP y el puerto TCP especificados.
• Para ADB compartida mediante una dirección IP pública con lista de control de acceso (ACL), confirme que las reglas de ACL para las direcciones permitidas estén configuradas correctamente.
• Para bases de datos Oracle o MySQL gestionadas por el cliente, compruebe que los firewalls que se ejecutan en el sistema operativo host, si corresponde, permiten el acceso a puertos TCP específicos de la base de datos.

• Si se configuran los atributos de seguridad y las políticas ZPR, verifique que los valores de atributo no se hayan modificado y sigan alineados con las reglas de política. Una conexión de trabajo puede fallar debido a valores no coincidentes. Para obtener más información, consulte Zero Trust Packet Routing Policy.

Consulte Uso de puntos finales privados con herramientas de base de datos para más información sobre el uso de puntos finales privados. Consulte Visión general de redes virtuales en la nube y subredes para obtener más información sobre la configuración de redes virtuales en la nube.

Configuración de base de datos cambiada

Es posible que una configuración de base de datos haya cambiado después de crear la conexión. Los cambios en la configuración de una base de datos o en los detalles de autenticación de usuario no se gestionan mediante el servicio Database Tools y puede que sea necesario actualizarlos en las conexiones.

Confirme si se ha producido alguna de las siguientes situaciones y actualice las conexiones a la base de datos, al usuario de la base de datos o a las herramientas de base de datos según corresponda:

• ¿Se ha suprimido el usuario de la base de datos o se han revocado los privilegios?
• ¿La cuenta de usuario de la base de datos está bloqueada o la contraseña ha caducado?
• Para bases de datos compartidas de ADB, ¿se rotó la instancia o la cartera regional? (En cuyo caso, se debe actualizar en el secreto de almacén)
• ¿Se ha suprimido la PDB?
• ¿La instancia de base de datos está parada o en pausa debido a la inactividad?

Consulte Uso de la consola de Oracle Cloud Infrastructure para más información sobre la actualización de una conexión.

ORA-20000: no se ha encontrado la propiedad de la base de datos SSL_WALLET

El mensaje de error ORA-20000: Database property SSL_WALLET not found se muestra cuando falla la operación de validación de identidad en las instalaciones de sistemas de Oracle Database base. Indica que no ha configurado los certificados ni la cartera necesarios. Consulte Creación de una cartera SSL con certificados.

La identidad no puede acceder a los servicios de OCI

Asegúrese de que se han establecido los grupos dinámicos y las políticas necesarios para permitir que el recurso de identidad acceda a los servicios de OCI. Consulte Grupos dinámicos y Políticas.

Después de actualizar las políticas, debe refrescar la identidad de Database Tools. Consulte Refrescamiento de una identidad.

El estado de identidad del ciclo de vida es FAILED o NEEDS_ATTENTION

Revise las solicitudes de trabajo e identifique los mensajes de error asociados con el fallo.

• Cuando una identidad tiene el estado FAILED, identifique la causa subyacente del problema que puede estar relacionada con la conexión de Database Tools, resuélvala y, a continuación, vuelva a crear la identidad.
• Cuando una identidad está en el estado NEEDS_ATTENTION, la identidad ya no se refresca automáticamente. Identifique la causa subyacente de la incidencia, resuelva la incidencia y, a continuación, refresque la identidad para iniciar un refrescamiento de token.

Oracle recomienda crear notificaciones para detectar cualquier fallo en el refrescamiento de identidad. Consulte Supervisión del Refrescamiento de Identidad.

Uso de TCP (no de TCPS) en un puerto solo de TCPS

TCP se restablece y no puede realizar el establecimiento de comunicación SSL necesario.

La autenticación de token requiere TLS, por lo que la conexión debe utilizar TCPS. Actualice la URL de JDBC para que utilice protocol=tcps y configure los valores de cartera o SSL necesarios.

ssl_server_cert_dn no válido en la URL de JDBC

ssl_server_cert_dn en la URL de JDBC especifica un nombre distintivo de certificado incorrecto (por ejemplo, región, nombre de host o servicio incorrectos).

La coincidencia de nombre distintivo (DN) debe estar activada para la autenticación basada en token.

Cadena de ámbito de token no válida

El ámbito de token de base de datos de IAM no es válido, por lo que el controlador no puede asociar un token de base de datos válido.

Verifique la sentencia de política de IAM para database-connections o proporcione un ámbito válido en la propiedad avanzada iam.db.token.scope.

La coincidencia de DN está desactivada (ssl_server_dn_match=no)

La coincidencia de DN es necesaria para la autenticación basada en token y debe estar activada.

Falta el ámbito de token de base de datos de IAM (nulo)

Se necesita un ámbito para generar un token de base de datos. Si el ámbito es nulo, la generación del token falla.

Verifique la sentencia de política de IAM para database-connections o proporcione un ámbito válido en la propiedad avanzada iam.db.token.scope.

El ámbito de token de base de datos de IAM no coincide con la política o el arrendamiento

El ámbito no coincide con el arrendamiento o la política de base de datos esperados, por lo que se rechaza el token.

Verifique la sentencia de política de IAM para database-connections o proporcione un ámbito válido en la propiedad avanzada iam.db.token.scope.

La autenticación de IAM está desactivada en la base de datos/falta la política de IAM o es insuficiente/el principal no está asignado al usuario de la base de datos global

La base de datos ha rechazado la conexión basada en IAM. Esto puede suceder en los siguientes casos:

• La autenticación de IAM no está activada en la base de datos.
• La política de IAM no otorga permisos suficientes al principal.
• El principal de IAM no está asignado a un usuario de base de datos global.

Según el error que vea, verifique lo siguiente:

• La activación de la autenticación externa de IAM se define en OCI_IAM.
• Confirme que existe una asignación de esquema global para el principal de IAM. Consulte Creación de usuarios de bases de datos globales

• Asegúrese de que la sentencia de política de IAM para use database-connections está alineada con la propiedad avanzada iam.db.token.scope, que se utiliza para solicitar el token de base de datos.

Falta la cartera o la ruta de la cartera de TLS

El Directorio de Cartera no existe o no es legible.

La versión de la base de datos no soporta la autenticación de token

Es posible que las versiones anteriores de la base de datos no soporten las funciones de autenticación de token necesarias.

Fallo de autenticación (401 no autorizado)

Token de acceso personal o OAuth no válido o caducado.

• Vuelva a autenticarse y obtenga un nuevo token.
• Verifique la configuración de caducidad del token.
• Asegúrese de que el formato de encabezado de autorización sea correcto (portador <token>)

Error de autorización (403 - Prohibido)

Faltan los roles de aplicación necesarios, como MCP_User, MCP_Operator, etc.

• Asegúrese de que tiene asignados los roles de aplicación de IAM adecuados.
• Verifique las asignaciones de roles en el dominio de identidad.

No se puede acceder al servidor MCP

Problemas de red o configuración.

• Confirme que la URL del servidor MCP es correcta.
• Asegúrese de que el entorno de cliente puede acceder a los puntos finales de MCP Server y OAuth a través de HTTPS.

Problemas de conexión del cliente MCP

Configuración o registro de cliente incorrecto.

• Asegúrese de que el cliente está registrado correctamente en el mismo dominio de identidad.
• Verifique el tipo de cliente (público, confidencial o de confianza).
• Compruebe los URI de redirección y los ámbitos permitidos.

La conexión a ADB-S con ACL de red no está soportada para cuentas de cuenta gratuita

Está utilizando una cuenta gratuita e intentando crear una conexión a una instancia de Autonomous Database – Compartida (ADB-S) mediante reglas de acceso de red que otorgan acceso a los servicios de OCI en Oracle Services Network.

Causa: la función de lista de control de acceso de red (ACL) de ADB-S no proporciona soporte para reglas de acceso de red que otorgan acceso a los servicios de OCI en Oracle Services Network. Como solución alternativa, cree conexiones mediante un punto final privado y agregue una regla de control de acceso a la instancia de ADB-S para permitir el tráfico desde las IP de origen de conexión inversa del punto final privado. Dado que las IP de origen de conexión inversa son direcciones IP privadas, se necesita el uso de un gateway de servicio o un gateway de NAT para conectarse a la IP pública de ADB-S. Las cuentas de cuenta gratuita no pueden crear un gateway de servicio o un gateway de NAT en sus redes virtuales en la nube y no pueden acceder a una instancia de ADB-S con ACL de red.

Las conexiones autenticadas por IAM de Database Tools no soportan el principal de instancia.