DSM 6.x und darunter 2 Faktoranmeldung

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
806
Punkte für Reaktionen
17
Punkte
44
Nabend,

ich wollte mich mal an die seit langem überfällige 2 Faktoranmeldung machen und habe noch einige Fragen auf die ich hier keine Antworten gefunden haben. Hatte das schon mal zu Testzwecken vor Jahren aktiviert und rumgespielt, da war das Thema noch neu und ich bin irgendwie wieder von abgekommen das weiter zu verfolgen bzw. konsequent durchzusetzen.

- welche Apps werden nach einem Code fragen (DSPhoto, DSFile, DSNote, DSAudio würden mich besonders interessieren). Nutze Android
- Wenn ich ein Konto auswähle (DSM Oberfläche - Persönlich - Kontoschutz) bekomme ich diverse vertrauenswürdige Clienten angezeigt.Unbenannt.JPG Wo, wie und warum sammelt die DS die Clienten und stuft sie als vertrauenswürdig ein? Kann ich die Liste einfach löschen? Wird die DS die Liste neu und ohne nachfrage befüllen?

#Mördock#
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
2 Faktoranmeldung
- welche Apps werden nach einem Code fragen (DSPhoto, DSFile, DSNote, DSAudio würden mich besonders interessieren). Nutze Android

Ich nutze DS Photo, DS file, DS Audio und den DS Finder - ALLE diese APPS fragen so lange die Codes ab wie du es wünscht. Das kannst du dir selber frei definieren.
So lange du einen Clienten nicht speicherst, so lange wird das Einloggen dieses Clienten zwingend den Code abfragen.
Nachdem du die 2 FA aktiviert hast für ein Benutzerkonto und du dich mit dem Code erfolgreich in die DS eingeloggt hast, kannst du dir Einstellen von welchen deiner Clients die Abfrage nicht mehr kommen soll. Dies erfolgt hier:
DSM - Optionen > Persönlich > Register "Konto" > unten auf "Kontoaktiviät" klicken > neues Fenster > Register "Gespeicherte Geräte" auswählen > HIER wird dir jetzt angezeigt, ob das Gerät mit welchem du dich jetzt gerade aktuell eingeloggt hast, also dem Clienten, ob dieses Gerät in Zukunft keiner Codeabfrage mehr unterliegen soll. Falls du das möchtest klick auf "Dieses Gerät speichern" - dieser Client wird ab jetzt nicht mehr mit einem Code abgefragt.
DARUNTER findest du die Option "Andere Geräte nicht mehr speichern" (das ist unglücklich ins Deutsche übersetzt!) Klickst du auf "Andere Geräte nicht mehr speichern" dann wird die komplette gespeicherte Geräteliste gelöscht. Das heißt du musst dich danach wieder mit ALLEN Clienten zwingend mit Code anmelden auf der DS.

Anmerkung:
Du kannst jetzt auch deinen SynologyAccount mit der 2 FA sichern. Diese Einstellungen musst du aber nach dem Einloggen in deinen SynologyAccount dort separat aktivieren.

Wenn ich ein Konto auswähle (DSM Oberfläche - Persönlich - Kontoschutz) bekomme ich diverse vertrauenswürdige Clienten angezeigt.Anhang anzeigen 45541 Wo, wie und warum sammelt die DS die Clienten und stuft sie als vertrauenswürdig ein? Kann ich die Liste einfach löschen? Wird die DS die Liste neu und ohne nachfrage befüllen?
DAS Bild und die Frage haben mich irretiert :)
DAS hat nichts mit der 2 FA zu tun. Das sind Einstellungen für den Kontoschutz, völlig unabhängig davon ob die 2 FA läuft oder nicht. DAS ist eine komplett andere Spielwiese.
Wenn du dich einloggst und in DSM > Optionen > Persönlich > neues Fenster > siehst du hier mehrere Register. Falls das Register "Kontoschutz" hellgrau/inaktiv ist und sich hier gar nicht auwählen lässt, so musst du den Kontoschutz zuerst aktivieren.
Dies erfolgt hier:
DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register "Konto" > runterscrollen zu Kontoschutz. HIER definierst du jetzt ob die Einstellung Kontoschutz in DSM > Optionen > Persönlich > Register "Kontoschutz" aktiv sein wird oder nicht.
Setzt du hier den Haken auf "Kontoschutz aktivieren", so wird später auch in DSM > Optionen > Persönlich > Register "Kontoschutz" ist jetzt aktiv und kann aufgerufen werden.
ABER all das hat nichts mit der 2 FA zu tun!

Die Frage zu deinem Bild, wenn du den Kontoschutz aktiviert hast, (nicht die 2 FA! das ist was ganz anderes!) dann wird dir an dieser Stelle welche dein Bild zeigt eine Liste der Clienten angezeigt welche sich auf deiner DS angemeldet haben.
Du kannst einzelne Clienten hier auswählen und bearbeiten. Du kannst auch die ganze Liste löschen. Sobald sich der nächste Client anmeldet wird diese Liste autom wieder befüllt.

Aber noch mal:
Das Einrichten und Erstellen der 2 FA hat nichts mit dem Kontoschutz zu tun welches dein Bild zeigt. Das kannst du ebenfalls Einrichten und Aktivieren, völlig unberührt und unabhängig von der 2 FA.
Ansonsten läuft die 2 FA seit vielen Monaten stabil und einwandfrei.

Anmerkung:
Bitte vergiss nicht, du als admin definierst ob User deiner DS zwingend die 2 FA benützen müssen, oder ob sich das jeder deiner User für sich selber frei aussuchen kann. Du als admin gibst vor wer ZWINGEND die 2 FA verwenden muss, oder eben auf freiwilliger Basis verwenden kann.
Diese Einstellung definierst du als admin hier:
DSM > Hauptmenü > Systemsteuerung > Benutzer > Register "Erweitert" > ganz unten am Ende der Liste > setzt du hier den Haken auf "2-Stufen Verifizierung für die folgenden Benutzer durchsetzen" so zwingst du die Gruppe welche du eingestellt hast dass sie zwingend die 2 FA Einrichten müssen. Sie können es dann später für sich in DSM > Optionen > Persönlich > hier nicht frei auswählen, der Haken der 2 FA wird hellgrau/inaktiv sein, da du ihnen diese Entscheidung abgenommen hast, bzw. "vorgeschrieben" hast.
Du kannst wählen zwischen "Benutzer der Admin-Gruppe" oder "Alle Benutzer" um die Vorgabe der zwingenden 2 FA vorzugeben.
Setzt du den Haken nicht im Menü DSM > Hauptmenü > Systemsteuerung > Benutzer > Register "Erweitert" > 2 FA durchsetzen, so können deine User selber frei Entscheiden ob sie es für sich Einrichten wollen oder nicht, der Haken wird dann später bei ihnen im DSM > Optionen > Persönlich > aktiv und frei wählbar sein, sie können sich dann die 2 FA für sich selber aktivieren, aber sie müssen es nicht zwingend tun.

Hinweis:
Wenn du die 2 FA installierst, bitte klick unbedingt auf den blauen Text beim QR-Code, er zeigt dir dann den Einrichtungscode als Klartext an. Du brauchst diesen Code um später die 2 FA einzurichten auf einem anderen/neuen Gerät!
Für den Fall dass der QR-Code nicht funktioniert oder Probleme damit auftreten.
Ich würde auch dringend den "Codegenerator" auf zwei oder mehreren Geräten installieren für den Fall das dein handy verloren geht, gestohlen wird, der Akku leer ist usw. Denn wenn die 2 FA aktiviert ist und du nicht an den Codegenerator kommst gibt es (fast) keine Möglichkeit dass du dich auf deiner DS einloggst! Ausnahme wären hier die Notfallcodes welche dir beim Einrichten vom Synology Account zugetielt werden, davon ist aber jeder NUR EINMAL verwendbar! Für den Fall das du den Account ebenfalls mit 2 FA sichern möchtest. Oder du kannst die Notfallsemailadresse verwenden für einen Code, aber danach ist Schluss mit "Notfalltüren".
Daher ist es besser wenn du den Codegenerator zumindest auf einem weiteren Gerät installierst um so die Zugangscodes zu erhalten, diese sind ja immer nur für ~ 10 Sekunden gültig, also so lange wie das Tortendiagramm zu sehen ist, wenn du nach dem Starten vom Codegenerator den Code noch siehst, aber die "Torte" fast weg ist, dann warte 2-3 Sekunden bis wieder ein neuer Code mit "voller" Torte angezeigt wird.
Denn du wirst es nicht schaffen den Code rechtzeitig, vollständig einzutippen :)

Praxistipp:
Wenn du bei einen der handyapps den Code eingeben musst, dann geht das relativ einfach.
1. Starte den Codegenerator
2. Starte die handy APP von Synology (DS file, photo usw.)
3. Melde dich wie gewohnt in der APP an mit Namen und Kennwort
4. Wenn die Zeile mit der Codeabfrage kommt, schalte um auf die Generatorapp, wenn die Torte "voll" ist, also der Code gerade neu generiert wurde, tippe 2 Sekunden auf die Codezeile (wird in die Zwischenablage kopiert)
5. Geh wieder zur handyAPP, sie wartet noch immer auf deine Code Eingabe, tipp 2 Sek auf die Eingabezeile, tipp auf "Einfügen" > der Code aus der Zwischenablage wird jetzt eingetragen und du kannst dich auf der DS einloggen und musst nicht mühsam den Code abtippen. Erstens geht das so schneller, zweitens werden Fehleingaben vermieden.

Warnung!
Noch mal, wenn du die 2 FA einrichtest musst du sicherstellen, dass du auch an die Codes kommst. OHNE Code kommst du nicht mehr auf deine DS, bzw. nicht mehr in deinen Synology Account!
 
Zuletzt bearbeitet:

Piti61

Benutzer
Mitglied seit
20. Nov 2014
Beiträge
168
Punkte für Reaktionen
3
Punkte
18
Beeindruckender Beitrag!

... nur für ~ 10 Sekunden gültig ...

Eine kleine Ergänzung: der Code wird für 30 Sekunden angezeigt und ist danach (glaube ich) noch weitere 30 Sekunden (20 Sekunden habe ich schon ausprobiert) gültig. Dazu muss aber die Uhrzeit auf der Synology und dem Codegenerator passen! Also die Uhrzeit immer über einen Zeitserver synchronisieren lassen - auf der Synology und dem Code-Generator.
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
806
Punkte für Reaktionen
17
Punkte
44
Moin,
Wie immer eine sagenhaft gute, ausführliche Antwort von Dir.
Werde mir das in Ruhe durchlesen und umsetzen.
Vielen Dank.
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
806
Punkte für Reaktionen
17
Punkte
44
Ich habe es verstanden und umgesetzt. Bis auf einen Punkt läuft es so wie es soll.
Lediglich DS Photo fragt nicht nach einem Code, egal ob über die Weboberfläche am PC oder innerhalb einer App auf irgendeinem Endgerät. Ich kann mich immer und überall "nur" mit dem Benutzernamen und dem Kennwort anmelden.
Ich habe extra ein "jungfräuliches" Smartphone genommen, DS Photo installiert, Anmeldedaten eingegeben und schwupp sehe ich meine Bilder.
- Ich nutze nicht die persönliche Photostation, die Option ist zwar aktiviert, wird aber nicht benutzt.
- Ich nutze als Kontosystem die DSM-Konten in der Photostation

#Mördock#
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Ja stimmt, kann ich bestätigen. Ist bei mir im Moment auch so. Aber die Codeabfrage war auch bei DS Photo definitiv schon mal da. Vermutlich wurde es bei einem der letzten DS Photo updates geändert?
Aber im Moment erhalte ich auch keine zusätzliche Abfrage bei DS Photo, nur bei den anderen Apps am handy.
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
806
Punkte für Reaktionen
17
Punkte
44
Habe mal ein Ticket bei Synology aufgemacht. Werde mich melden wenn ich eine Antwort bekommen habe.
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
806
Punkte für Reaktionen
17
Punkte
44
Tach,

habe eine Antwort vom Support bekommen:
Die Photo Station ist eine Anwendung die ziemlich losgelöst von DSM arbeitet und nur einige Dinge übernimmt, wie die Benutzerkonten-Namen und Passwörter, aber nicht die 2-Faktor-Authentifizierung. Dies ist der Fall weil die Photo Station auch komplett unabhängig von den DSM-Benutzerkonten mit eigenen Konten betrieben werden kann.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Vielen Dank für deine Rückmeldung mördock und für die Info. Also gut, dann ist es geklärt, die APP DS Photo nutzt keine 2 FA. Soll mir auch Recht sein :)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
Viel interessanter wäre endlich Unterstützung für yubikey zu bekommen!
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Wir kommen zwar etwas vom Thema ab, aber ich habe das so Verstanden dass yubikey direkt an die DS angesteckt werden muss? Für alle jene mit "Remote" DS ist das unglücklich und wenn man den yubikey stecken lässt ist das sinnfrei....
Oder reicht es auch aus wenn der yubikey am PC steckt von welchem aus ich eine DS "anwählen" will?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
genau so, statt einem Pw oder ähnlichem steckst du den yubikey rein und fertig. Dafür muss es aber eine Applikation auf dem PC geben, welche dann die Verbindung zum NAS herstellt. Diese Schnittstelle fehlt halt.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat