2 Faktoranmeldung
- welche Apps werden nach einem Code fragen (DSPhoto, DSFile, DSNote, DSAudio würden mich besonders interessieren). Nutze Android
Ich nutze DS Photo, DS file, DS Audio und den DS Finder - ALLE diese APPS fragen so lange die Codes ab wie du es wünscht. Das kannst du dir selber frei definieren.
So lange du einen Clienten nicht speicherst, so lange wird das Einloggen dieses Clienten zwingend den Code abfragen.
Nachdem du die 2 FA aktiviert hast für ein Benutzerkonto und du dich mit dem Code erfolgreich in die DS eingeloggt hast, kannst du dir Einstellen von welchen deiner Clients die Abfrage nicht mehr kommen soll. Dies erfolgt hier:
DSM - Optionen > Persönlich > Register "Konto" > unten auf "Kontoaktiviät" klicken > neues Fenster > Register "Gespeicherte Geräte" auswählen > HIER wird dir jetzt angezeigt, ob das Gerät mit welchem du dich jetzt gerade aktuell eingeloggt hast, also dem Clienten, ob dieses Gerät in Zukunft keiner Codeabfrage mehr unterliegen soll. Falls du das möchtest klick auf "Dieses Gerät speichern" - dieser Client wird ab jetzt nicht mehr mit einem Code abgefragt.
DARUNTER findest du die Option "Andere Geräte nicht mehr speichern" (das ist unglücklich ins Deutsche übersetzt!) Klickst du auf "Andere Geräte nicht mehr speichern" dann wird die komplette gespeicherte Geräteliste gelöscht. Das heißt du musst dich danach wieder mit ALLEN Clienten zwingend mit Code anmelden auf der DS.
Anmerkung:
Du kannst jetzt auch deinen SynologyAccount mit der 2 FA sichern. Diese Einstellungen musst du aber nach dem Einloggen in deinen SynologyAccount dort separat aktivieren.
Wenn ich ein Konto auswähle (DSM Oberfläche - Persönlich - Kontoschutz) bekomme ich diverse vertrauenswürdige Clienten angezeigt.
Anhang anzeigen 45541 Wo, wie und warum sammelt die DS die Clienten und stuft sie als vertrauenswürdig ein? Kann ich die Liste einfach löschen? Wird die DS die Liste neu und ohne nachfrage befüllen?
DAS Bild und die Frage haben mich irretiert
DAS hat nichts mit der 2 FA zu tun. Das sind Einstellungen für den Kontoschutz, völlig unabhängig davon ob die 2 FA läuft oder nicht. DAS ist eine komplett andere Spielwiese.
Wenn du dich einloggst und in DSM > Optionen > Persönlich > neues Fenster > siehst du hier mehrere Register. Falls das Register "Kontoschutz" hellgrau/inaktiv ist und sich hier gar nicht auwählen lässt, so musst du den Kontoschutz zuerst aktivieren.
Dies erfolgt hier:
DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register "Konto" > runterscrollen zu Kontoschutz. HIER definierst du jetzt ob die Einstellung Kontoschutz in DSM > Optionen > Persönlich > Register "Kontoschutz" aktiv sein wird oder nicht.
Setzt du hier den Haken auf "Kontoschutz aktivieren", so wird später auch in DSM > Optionen > Persönlich > Register "Kontoschutz" ist jetzt aktiv und kann aufgerufen werden.
ABER all das hat nichts mit der 2 FA zu tun!
Die Frage zu deinem Bild, wenn du den Kontoschutz aktiviert hast, (nicht die 2 FA! das ist was ganz anderes!) dann wird dir an dieser Stelle welche dein Bild zeigt eine Liste der Clienten angezeigt welche sich auf deiner DS angemeldet haben.
Du kannst einzelne Clienten hier auswählen und bearbeiten. Du kannst auch die ganze Liste löschen. Sobald sich der nächste Client anmeldet wird diese Liste autom wieder befüllt.
Aber noch mal:
Das Einrichten und Erstellen der 2 FA hat nichts mit dem Kontoschutz zu tun welches dein Bild zeigt. Das kannst du ebenfalls Einrichten und Aktivieren, völlig unberührt und unabhängig von der 2 FA.
Ansonsten läuft die 2 FA seit vielen Monaten stabil und einwandfrei.
Anmerkung:
Bitte vergiss nicht, du als admin definierst ob User deiner DS zwingend die 2 FA benützen müssen, oder ob sich das jeder deiner User für sich selber frei aussuchen kann. Du als admin gibst vor wer ZWINGEND die 2 FA verwenden muss, oder eben auf freiwilliger Basis verwenden kann.
Diese Einstellung definierst du als admin hier:
DSM > Hauptmenü > Systemsteuerung > Benutzer > Register "Erweitert" > ganz unten am Ende der Liste > setzt du hier den Haken auf "2-Stufen Verifizierung für die folgenden Benutzer durchsetzen" so zwingst du die Gruppe welche du eingestellt hast dass sie zwingend die 2 FA Einrichten müssen. Sie können es dann später für sich in DSM > Optionen > Persönlich > hier nicht frei auswählen, der Haken der 2 FA wird hellgrau/inaktiv sein, da du ihnen diese Entscheidung abgenommen hast, bzw. "vorgeschrieben" hast.
Du kannst wählen zwischen "Benutzer der Admin-Gruppe" oder "Alle Benutzer" um die Vorgabe der zwingenden 2 FA vorzugeben.
Setzt du den Haken nicht im Menü DSM > Hauptmenü > Systemsteuerung > Benutzer > Register "Erweitert" > 2 FA durchsetzen, so können deine User selber frei Entscheiden ob sie es für sich Einrichten wollen oder nicht, der Haken wird dann später bei ihnen im DSM > Optionen > Persönlich > aktiv und frei wählbar sein, sie können sich dann die 2 FA für sich selber aktivieren, aber sie müssen es nicht zwingend tun.
Hinweis:
Wenn du die 2 FA installierst, bitte klick unbedingt auf den blauen Text beim QR-Code, er zeigt dir dann den Einrichtungscode als Klartext an. Du brauchst diesen Code um später die 2 FA einzurichten auf einem anderen/neuen Gerät!
Für den Fall dass der QR-Code nicht funktioniert oder Probleme damit auftreten.
Ich würde auch dringend den "Codegenerator" auf zwei oder mehreren Geräten installieren für den Fall das dein handy verloren geht, gestohlen wird, der Akku leer ist usw. Denn wenn die 2 FA aktiviert ist und du nicht an den Codegenerator kommst gibt es (fast) keine Möglichkeit dass du dich auf deiner DS einloggst! Ausnahme wären hier die Notfallcodes welche dir beim Einrichten vom Synology Account zugetielt werden, davon ist aber jeder NUR EINMAL verwendbar! Für den Fall das du den Account ebenfalls mit 2 FA sichern möchtest. Oder du kannst die Notfallsemailadresse verwenden für einen Code, aber danach ist Schluss mit "Notfalltüren".
Daher ist es besser wenn du den Codegenerator zumindest auf einem weiteren Gerät installierst um so die Zugangscodes zu erhalten, diese sind ja immer nur für ~ 10 Sekunden gültig, also so lange wie das Tortendiagramm zu sehen ist, wenn du nach dem Starten vom Codegenerator den Code noch siehst, aber die "Torte" fast weg ist, dann warte 2-3 Sekunden bis wieder ein neuer Code mit "voller" Torte angezeigt wird.
Denn du wirst es nicht schaffen den Code rechtzeitig, vollständig einzutippen
Praxistipp:
Wenn du bei einen der handyapps den Code eingeben musst, dann geht das relativ einfach.
1. Starte den Codegenerator
2. Starte die handy APP von Synology (DS file, photo usw.)
3. Melde dich wie gewohnt in der APP an mit Namen und Kennwort
4. Wenn die Zeile mit der Codeabfrage kommt, schalte um auf die Generatorapp, wenn die Torte "voll" ist, also der Code gerade neu generiert wurde, tippe 2 Sekunden auf die Codezeile (wird in die Zwischenablage kopiert)
5. Geh wieder zur handyAPP, sie wartet noch immer auf deine Code Eingabe, tipp 2 Sek auf die Eingabezeile, tipp auf "Einfügen" > der Code aus der Zwischenablage wird jetzt eingetragen und du kannst dich auf der DS einloggen und musst nicht mühsam den Code abtippen. Erstens geht das so schneller, zweitens werden Fehleingaben vermieden.
Warnung!
Noch mal, wenn du die 2 FA einrichtest musst du sicherstellen, dass du auch an die Codes kommst. OHNE Code kommst du nicht mehr auf deine DS, bzw. nicht mehr in deinen Synology Account!
Wo, wie und warum sammelt die DS die Clienten und stuft sie als vertrauenswürdig ein? Kann ich die Liste einfach löschen? Wird die DS die Liste neu und ohne nachfrage befüllen?
