<div dir="ltr">I managed to find the problematic user in AD after enabling TRACE logs in ShadowCache. It turns out the user has a special char (CN=İrem_LASTNAME,OU=People). I'm assuming this is causing midPoint to fail processing this user and return a schema error. <div><br></div><div>I tried to ignore this user in my condition section, however I believe the shadow is processed before the resource condition is checked and the task fails with the error in my initial post. Are there any workarounds in which this scenario is considered a Partial Failure so this task can continue executing? This user is one of 50000. </div><div><br></div><div>A possible solution would involve raising a different error if an invalid char (according to midPoint) was to be found on the resource. One that can be caught in ShadowCache.java (<a href="https://github.com/Evolveum/midpoint/blob/master/provisioning/provisioning-impl/src/main/java/com/evolveum/midpoint/provisioning/impl/ShadowCache.java#L875">https://github.com/Evolveum/midpoint/blob/master/provisioning/provisioning-impl/src/main/java/com/evolveum/midpoint/provisioning/impl/ShadowCache.java#L875</a>) and returned as a "Object failed to processed" rather than a Schema Error. I'm open to any suggestions.</div><div><br></div><div>Thanks, </div><div>-F </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 19, 2016 at 1:14 PM, Florin. Stingaciu <span dir="ltr"><<a href="mailto:fstingaciu@mirantis.com" target="_blank">fstingaciu@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Also, this only happens with a Import Users task and not with Reconcile Users Task. The reconcile users task finishes successfully.. </div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 19, 2016 at 12:56 PM, Florin. Stingaciu <span dir="ltr"><<a href="mailto:fstingaciu@mirantis.com" target="_blank">fstingaciu@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello, <div><br></div><div>My import users task fails with the following error: <a href="http://pastebin.com/L0bKs9U2" target="_blank">http://pastebin.com/L0b<wbr>Ks9U2</a></div><div><br></div><div>I tried increasing the log level, however the logs previous to this pertain to the previous user that was successfully imported. The resource is an active directory entry. </div><div><br></div><div>My condition section looks as follows:</div><div><br></div><div><div>                        dn = basic.getAttributeValues(shado<wbr>w, "dn")[0]</div><div>                        if (dn == "someDN"){</div><div>                            return false</div><div>                        }</div><div>                        else if (dn == "someotherDN"){</div><div>                            return false</div><div>                        }</div><div>                        else if (dn.contains("a sub OU domain")){</div><div>                            return false</div><div>                        }</div><div><span class="m_-8143916651942201976m_5194538813917276870gmail-Apple-tab-span" style="white-space:pre-wrap">                        </span>return (basic.getAttributeValues(shad<wbr>ow, "mail") != null)   </div></div><div><br></div><div><br></div><div>I've tried removing the condition and that didn't help. Any ideas on what could be the problem? </div><div><br></div><div>Realistically, no entry in AD can have an empty DN. Could it maybe be a bad shadow somewhere, missing the dn? </div><div><br></div><div>Thanks, </div><span class="m_-8143916651942201976HOEnZb"><font color="#888888"><div>-F </div></font></span></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div>