Zertifikatskette erneuert - MS365-Connector-Sync klemmt

(english text below)

Hallo zusammen!

Nach der Erneuerung der UCS Zertifikats-Kette und aller Zertifikate nach Anleitung (inkl. der MS365-Connector-Schritte) funktioniert zwar das SSO mit MS365 noch, nicht aber der Sync (ein neuer Benutzer wird nicht bei MS angelegt).

Das /var/log/univention/listener.log enthält:

univention.office365.microsoft.exceptions.core_exceptions.UnauthorizedError: Authorization failed

Das Verzeichnis /etc/univention-office365/defaultADconnection enthält noch die alten Zertifikate, Schlüssel und Manifest Dateien.

Hat jemand einen Tip, wie ich das wieder hinbekomme? Ich habe etwas Angst den MS365-Connector-Setup-Assstenten komplett nochmal auszuführen, weil ich fürchte die Konten bei MS zu “beschädigen”.

Hier hat jemand das Problem teils gelöst, indem er eine zusätzliche Verbindung erstellt hat und danach die Dateien aus /etc/univention-office365/NeueVerbindung nach /etc/univention-office365/defaultADconnection kopiert hat.
Ist das ein guter Weg?

Beste Grüße aus Gießen
Gerd Wilhelm
---- english ----
Hello everyone!

After renewing the UCS certificate chain and all certificates according to the instructions (including the MS365 connector steps), the SSO with MS365 still works, but not the sync (a new user is not created at MS).

The /var/log/univention/listener.log contains:

univention.office365.microsoft.exceptions.core_exceptions.UnauthorizedError: Authorization failed

The directory /etc/univention-office365/defaultADconnection still contains the old certificates, keys and manifest files.

Does anyone have a tip on how I can fix this? I’m a bit afraid to run the MS365-Connector-Setup-Assistant completely again, because I’m afraid to “damage” the accounts at MS.

Someone here has partially solved the problem by creating an additional connection and then copying the files from /etc/univention-office365/NewConnection to /etc/univention-office365/defaultADconnection.
Is this a good way?

Best regards from Gießen
Gerd Wilhelm

Hurra, ich habe es. Für andere, die es Interessiert:

  1. Aus dem MS Entra Admin Center die Manifest-Datei der registrierten App herunterladen und nach /etc/univention-office365/defaultADconnection/manifest.json kopieren. Diese ist nach dem erneuten Ausführen des Powershell-scripts wie in der Anleitung für das UCS-Zert-Update bereits aktualisiert.

  2. Zertifikat und Key aus /etc/univention/ssl/ucs-sso-ng.meine.domain nach /etc/univention-office365/defaultADconnection/ kopieren (und genau so benennen wie die alten, rechte anpassen)

  3. Zertifikat aus /etc/univention/ssl/ucs-sso-ng.meine.domain zur registrierten App im MS Entra Admin Interface hochladen.

  4. den univention-directory-listener neu starten.

Der Abend ist gerettet.
Beste Grüße Gerd

2 Likes
Mastodon