2 Stufen Verifikation Einrichtung schlägt fehl (trotz Zeitsynchron)

Status
Für weitere Antworten geschlossen.

draist7

Benutzer
Mitglied seit
24. Apr 2014
Beiträge
30
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich nehme an, das Thema ist ein relative alter Hut für viele (für mich selbst ja auch schon), aber dieses mal was neues...und zwar habe ich ein neues Handy und möchte dieses am NAS für 2 STufen Verifikation einrichten. Nun klappt dies leider nicht, da nach dem EInscannen des QR codes meine app FreeOTP leider den falschen Code ausspuckt und mir DSM eine Fehlermeldung auswirft, dass der Code nicht stimmt. Nun ist der erste Blick natürlich immer auf die Zeitsynchronisierung und ich muss hier feststellen, dass DSM die exakt gleiche Uhrzeit anzeigt wie mein Handy. Ich bin also aufgrund dessen ziemlich irritiert und weiß nicht weiter. Ich wollte nun die 2 Stufen Verifikation zurücksetzen und habe in der DSM Einstellung aber festgestellt, dass dies gar nicht geht. Der Haken ist ausgegraut und ich kann ihn nicht deaktivieren. Das verwirrt mich noch vielmehr. Muss ich jetzt den NAS reseten oder hat jemand eine andere schlaue Idee?
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Ich hatte gestern einen ähnlichen Fall.
Neues Handy und der Notfallcode konnten nicht an meine Email gesendet werden, da ich angeblich schon drei Notfallcodes benutzt hatte.

Folgendes hat mir geholfen:
Rieset am NAS für 4 Sekunden gedrückt bis zum ersten Beeep. Dann mittels Assistenten das NAS gesucht und mit Admin (ohne PW) eingeloggt. 2 Stufen Verifikation neu eingerichtet. Dann alle Einstellungen wieder aktualisiert. Also IP, Umleitung auf https, Firewall, Blockierungsliste usw.

Seit dem läuft es wieder wie erwartet.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
meine app FreeOTP leider den falschen Code ausspuckt und mir DSM eine Fehlermeldung auswirft, dass der Code nicht stimmt.
Das sollte fast unmöglich sein, da bei der Einrichtung der FA als erster Schritt IMMER ein Kontrollcode generiert wird und nur wenn dieser Kontrollcode ordnungsgemäß funktioniert kannst du die 2 FA vollständig und korrekt abschliessen.
Sollte der Kontrollcode schon nicht stimmen, sollte die 2 FA sich gar nicht weiter Einrichten lassen!
Hat der Kontrollcode jetzt funktioniert bei dir?

wollte nun die 2 Stufen Verifikation zurücksetzen und habe in der DSM Einstellung aber festgestellt, dass dies gar nicht geht. Der Haken ist ausgegraut und ich kann ihn nicht deaktivieren.

Ich glaube hier ist bei deiner Einrichtung der 2 FA schon etwas schief gelaufen, das könnte auch der Grund sein warum die Codes nicht funktionieren.
Aber der Reihe nach.

Das was du beschreibst bezieht sich auf das Verhalten, welches der Admin für die 2 FA vordefiniert hat. Im Detail:
Der Admin der DS definiert WER zwingend die 2 FA zu benutzen hat, WENN er dies tut, dann hat der User das graue (inaktive) Feld mit dem Haken und er kann selbst nicht wählen! Die Funktion ist für ihn deaktiviert. Das ist der Zustand welchen du gesehen hast.
Schritt 1, Admin definiert WER 2 FA benutzen kann/darf/muss:
DSM > Hauptmenü > Systemsteuerung > Benutzer > Register "Erweitert" > ganz unten findest du die 2-Stufen Verifzierung. HIER defniert der Admin ob ZWINGEND User die 2 FA Benützen müssen!
Setzt der Admin hier den Punkt auf "Benutzer der Administratoren Gruppe", so MÜSSEN alle Admin und User mit Adminrechten ZWINGEND die 2 FA verwenden! In ihren Optionen ist dann das Feld der 2 FA grau und inaktiv!
ABER alle anderen Benützer können, aber müssen nicht, die 2 FA verwenden. Sie können frei wählen, die Option 2 FA ist in Ihren Einstellungen frei wählbar und somit aktiv.

Schritt 2, der einzelne User richtet sich seine 2 FA ein:
Menüzeile rechts oben > Optionen (=der weisse Kopf zwischen Lupe und Sprechblase) > Persönlich > neues Fenster > Register Konto:
HAT der Admin in Schritt 1 die Vorgabe gesetzt das dieser USER ZWINGEND 2 FA nutzen muss (zB weil er User mit Adminrechten ist) DANN ist das Fehld hellgrau inaktiv, die Entscheidung hat im der Admin abgenommen! Er MUSS zwingend die 2 FA verwenden und einrichten! Dazu auf "2-Stufen Verifizierung" klicken und einrichten.
HAT der Admin diesem entsprechenden User aber nicht den Zwang einer 2 FA auferlegt, so ist bei diesem User jetzt das Feld mit dem Haken aktiv und der User kann (aber muss nicht) die 2 FA für sich Einrichten. Ganz nach seinem Wunsch ob er sie Nutzen möchte oder nicht.

Hinweis: Unter Kontoaktivität ist die Option versteckt, dass der User ein bereits gespeichertes Gerät eintragen kann, damit er von diesem Gerät aus nicht jedesmal die 2 FA eintragen muss. Klickt der Admin aber auch die Fläche "Andere Geräte nicht mehr speichern" so werden alle gespeicherten Geräte gelöscht und jeder User muss wieder den Code der 2 FA eintragen!

Seit einiger Zeit kann man auch das Accountkonto selbst am Synologyserver durch 2 FA separat sichern. Der Code ist in der APP eingetragen.
die 2 FA generiert sich aus mehreren Teilen, auch der Username MUSS korrekt geschrieben sein, sonst funktionieren die generierten Codes nicht!

Bitte prüf noch mal ob alle deine Einträge stimmen, das kannst du hier jederzeit machen:
DSM > Menüzeile oben > Optionen > Persönlich > neues Fenster > Register Konto > 2-Stufen Verifzierung anklicken > folge den Anweisungen bis du zur Seite mit dem QR Code kommst. Klick auf den blauen Text mit dem geheimen Schlüssel!
NEUES FENSTER! > HIER siehst du jetzt für welchen Usernamen und für welchen Servernamen der QR Code eingerichtet wurde. Kontrollier an dieser Stelle, ob die exakt gleiche Schreibweise von deinem Usernamen UND deinem DS Servernamen hier steht! Drunter steht dein geheimer Code.
Das Konto MUSS in folgender Form angezeigt werden "Username@DSSERVERNAME".
Diese Daten und den geheimen Schlüssel kannst du manuell in deine APP eintragen, der generierte Code sollte dann funktionieren, vorausgesetzt die Zeit am handy und auf der DS laufen absolut synchron. Auch in deiner APP MUSS ZWINGEND der Eintrag exakt so vorhanden sein, also mit "Username@DSSERVERNAME und generierter Code aus deiner DS! Der Code aus der APP wird aus den Bestandteilen von Username@DSSERERNAME, Code von der DS und der synchronslaufenden Uhrzeit auf beiden Geräten generiert. Stimmt nur ein Zeichen nicht überein, erhältst du einen falsch generierten Code aus deiner APP am handy.
Der Code ist immer nur einige Sekunden gültig! Ist die Zeit abgelaufen muss der nächste, neue Code zeitgerecht eingegeben werden!
Bei der google auth APP wird dies durch das kleiner werdende Tortendiagramm angezeigt. Ist die "Torte" fast weg, macht es keinen Sinn den Code einzugeben, da die Zeit sicherlich schneller abgelaufen ist, als bis du den richtigen Code vollständig eingetippt hast! Warte bis ein neues Tortendiagramm mit neuem Code erscheint und gib dann diesen Code ein. Er muss vollständig an die DS übertragen worden sein, BEVOR das Diagramm und somit die Zeit abgelaufen ist!
 
Zuletzt bearbeitet:

Maria-Helen

Benutzer
Mitglied seit
04. Dez 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Ein freundliches Hallo an alle hier,
ich hab ein weiteres Problem. Nachden die 2 Stufen Verifikation eigentlich geklappt hat, wollte ich mich eben wieder anmelden, um einige Einstellungen zu ändern. Leider hat das nicht geklapt. Die auf meinem Handy angezeigten Ziffern wechselten sehr schnell und wenn ich das eingetippt und abgeschickt habe warendie schon wieder ungültig. Jetzt habe ich die Anzahl der möglichen Versuche überschritten und kann mich von meinem Rechner nicht mehr einloggen. Weiß jemand, wie ich das ohne Reset wieder öffnen kann oder wird die Blocckade nach einer Weille wieder aufgehoben?
Danke im Vorraus für die Hilfe.
Gruß Wolfgang

DS 220 / DSM7
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Die auf meinem Handy angezeigten Ziffern wechselten sehr schnell und wenn ich das eingetippt und abgeschickt habe warendie schon wieder ungültig

Je nach verwendeter Code-APP gibt es unterschiedliche Anzeigen für die Gültigkeit des Codes.
Ich selbst verwende google Authenicator und da erfolgt die Anzeige mittels einer "Torte". Wenn ich jetzt sehe dass die Tortenansicht schon bei "11 Uhr" steht, dann ist der Code ja nur mehr ganz kurz gültig. Also warte ich auf den nächsten Code und die "Torte" beginnt bei "12-Uhr" zu laufen im Uhrzeigersinn. Code ist ca.20-30 Sekunden lang gültig und so kann ich ihn in Ruhe eingeben. Auch sind die Codes noch kurz nach Ablauf der Torte noch gültig, auch wenn bereits ein neuer Code mit neuer "Torte" zu sehen ist.

habe ich die Anzahl der möglichen Versuche überschritten und kann mich von meinem Rechner nicht mehr einloggen.

Wenn du nicht andere Einstellungen gewählt hast, solle die IP Blockade nach 1 Tag wieder aufgehoben sein.
Du kannst das aber Umgehen und einfach deinem Recher in seinen Netzwerkeinstellungen eine andere IP zuweisen.
Oder du benützt ein anderes Gerät zum Einloggen.
Dann kannst du in die Liste der blockierten IPs gehen und jene IP von deinem geblockten PC suchen und aus der Liste manuell entfernen.
DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register "Schutz" > ca. in der Mitte auf die Schaltfläche "Freigabe-/Blockierungsliste" klicken > neues Fenster > Oben Umschalten auf das rechte Register "Blockierungsliste" > aus der jetzt angezeigten Liste die Zeile mit der IP von deinem geblockten PC suchen und markieren > Entfernen oben Anklicken > die IP ist jetzt aus der Liste entfernt und du kannst wieder vom PC aus einloggen.

Wenn du mit der Code Eingabe nicht zurecht kommst, dann könntest du statt der Code Eingabe die neue Funktion in DSM nutzen mit dem Namen SecureSignIn.
ACHTUNG! Dazu muss aber zwingend bei dir auf der DS Quickconnect korrekt eingerichtet sein und auch laufen und funktionieren.
Wenn das der Fall ist dann verwende SecureSignIn.
Kurzerklärung:
Das ist wie zB bei den Bankgeschäften onlinebanking. Du loggst dich in dein Onlinebanking ein mit Name oder Code usw und am handy läuft eine APP wo du diese Anmeldung bestätigst und abschliesst und erst dann erfolgt das tatsächliche Einloggen.
SecureSignIn ist das gleiche nur für Synology.
Bei der DSM Anmeldung gibst du deinen Usernamen ein, dann erscheint auf deinem handy in der Synoloy APP SecureSignIn die Info "User xyz" versucht sich einzuloggen, wollen sie die zulassen?", du tippst nur auf "Bestätigen" und danach deine handypin oder Fingerabdruck oder Gesichtserkennung usw, danach wird die Anmeldung im DSM autom fortgesetzt.
Keine Angst, wenn dein handy nicht verfügbar ist oder gerade der Akku leer, dann erscheint nach einem gewissen Zeitablauf am Anmeldebildschirm vom DSM (wo nur dein Username steht) der Hinweis "Freigabe wurde nicht zeitgerecht bestätigt", drunter erschein ein Link "Andere Anmeldemethode verwenden" > hier draufklicken und Username sowie Kennwort vom User eingeben und du bist im DSM eingeloggt.

Ich habe SecureSignIn hier mit Bildern erklärt:
https://www.synology-forum.de/threads/ausgesperrt-nach-2-faktor-atkivierung.119925/#post-990895

Anmerkung:
Ein "Parallelbetrieb" von 2 FA mit den Zahlencodes und SecureSignIn ist nicht möglich! Entweder 2 FA mit Zahlencodes ODER SecureSignIn.
Noch mal, Quickconnect muss aktiv auf der Diskstation laufen sonst funktioniert SecureSignIn nicht!

Hinweis:
Die Funktion OTP in SecureSignIn ist für die 2FA, OPT ist für die Codeerzeugung, also selbe Funktion wie zB google authenticator

SecureSignIn Android handy/tablett
https://play.google.com/store/apps/details?id=com.synology.securesignin

Weitere Infos zu SecureSignIn:
https://kb.synology.com/de-de/DSM/help/SecureSignIn/Android?version=7

Hinweis 2:
Du kannst die APP SecureSignIn auch auf mehreren handys/tabletts installieren, bei einer Anmeldung werden sich dann halt mehrere handys/Tabletts mit Toninfo bemerkbar machen, dass eine Anmeldung gestartet wurde ins DSM und der Freigabeprozess kann auf einem dieser handys durchgeführt werden.
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Secure Signin funktioniert bei mir auch ohne Quickconnect.

Ebenfalls kann ich bei der Anmeldung zwischen Methoden auswählen (Drittanbieter-App ala Google auth, andOTP, Bitwarden) OTP und Secure Signin auswählen.
OTP war vor dem Update auf DSM7 schon aktiv, eventuell macht das ein Unterschied (wäre zwar idiotisch, aber...).
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Ebenfalls kann ich bei der Anmeldung zwischen Methoden auswählen (Drittanbieter-App ala Google auth, andOTP, Bitwarden) OTP und Secure Signin auswählen.

Nur zur Sicherheit ich nutze die dzt aktuelle DSM Version 7.0.1-42218-Update 3, also keine RC oder Betaversion usw.

Möglich dass du Auswählen kannst, aber hast du tatsächlich auch auf dem einzelnen User dann getestet?
Mir ist es unmöglich BEIDE Methoden für EIN UND DEN SELBEN USER gleichzeitig zu benützen.
Das lässt DSM bei mir nicht zu, verwendet ein User SecureSignin, kann er zwar "Umschalten" auf 2FA, ABER er verliert damit sofort die SecureSignIn Anmeldung, siehe Bild:

2fa_oder_securesignin.png

Nur zur Sicherheit Fusion ich meine damit die Kennwortlose Anmeldung für diesen User, also User gibt beim Login Eingabe Webbrowserfenster nur den Namen ein, danach meldet sich das handy mit SecureSignIn und fordert die Freigabe zur Anmeldung, ich bestätige mit "Freigeben" und danach noch mit handy pin oder Fingerabdruck usw, danach läuft die Anmeldung für den User ins DSM weiter.
Ich kann also bei mir nur Auswählen ENTWEDER 2FA für einen User ODER SecureSignIn. Ein und der selbe User kann nicht beide zusätzliche Sicherheitseinrichtungen nutzen.
Ich kann User A mit SecureSignIn anmelden lassen und User B mit 2FA das geht, aber UserA kann nicht 2FA UND SecureSignIn verwenden.
Wie erwähnt, bei mir mit meiner DSM Version, siehe Eingangssatz oben, möglicherweise haben sie das bei einer RC oder Betaversion geändert?

Anmerkung:
SecureSignIn bietet die Option OTP, das ist aber nur ein weiterer Zahlengenerator für eine 2 FA Anmeldung.

Secure Signin funktioniert bei mir auch ohne Quickconnect.

Als ich damals SecureSignIn eingerichtet habe war da ein Warnhinweis bei mir dass 1. eine Verbindung zum aktiven Synology Accountkonto bestehen muss und 2. dass Quickconnect aktiv sein muss, sonst würde die Freigabe via handy mit SecureSignIn nicht funktionieren.
Das war allerdings mit DSM 7.0.1-42218 entweder ohne Update oder höchstens Update 1, vielleicht haben sie das mittlerweile geändert.
Müsste ich bei Zeiten mal ausprobieren.

Nachtrag:
Ich habe jetzt noch mal genau nachgesehen.
DSM 7 Anmeldebildschirm im Webbrowser, Aufforderung Username eingeben.
WENN dieser User SecureSignIn nutzt erhält er die Info dass die weitere Freigabe am handy durchgeführt wird, das handy meldet sich fast gleichzeitig mit der Info "Anmeldung erhalten oder so ähnlich".
Ich sehe in der handyAPP SecureSignIn eine Zeile mit Diskstationname, Username und IP Adresse von wo sich der User anmeldet.
Ich klicke in der APP auf diese Zeile, dort kommt dann "Genehmigen" oder "Abweisen". Bei tippen auf "Genehmigen" läuft am PC die Anmeldung in DSM durch.
Wenn ich nach Eingabe vom Usernamen den Linktext "Mit andere Anmeldemethode anmelden" anklicke, dann werde ich aufgefordert das DSM Kennwort vom Loginuser einzugeben, danach läuft die Anmeldung ins DSM weiter.

DSM 7 Anmeldebildschirm im Webbroser, Aufforderung Username eingeben.
Der User nutzt Kennwort und 2 FA, ich muss im nächsten Schritt also DSM Kennwort eingeben und danach die 6 Zahlen vom 2FA Generatorgerät.
Danach läuft die Anmeldung ins DSM weiter.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Fusion

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Genau wie in deinem Nachtrag geschrieben.
DSM7 > Login > Benutzername > secure sign-in oder OTP als Methode auswählen.
Entweder in der App abnicken oder im Browser Passwort + OTP eingeben.
> angemeldet.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Interessant, wie erwähnt ist bei mir nicht möglich, siehe Bild # 7 - ich kann für ein und den selben User nur Auswählen 2 FA oder SecureSignIn, sobald ich die zweite Option wähle erhalte ich sofort die Meldung das die andere Option für diesen User deaktiviert wird.
 

Maria-Helen

Benutzer
Mitglied seit
04. Dez 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Ein freundliches Hallo an alle hier,
Ich danke allen für die intensiven Ratschläge und möchte mich gleich noch entschuldigen, dass ich bisher nicht die Zeit hatte, das alles auszuprobieren.
Ich habe heute wahrscheinlich zu früh einen neuen Versuch gestartet und eben nochmal, aber es funktionierte immer noch nicht auch das Rücksetzen des Passwortes ging nicht. Ich werde noch auf den morgigen Tag warten und dann nochmal versuchen, das passwort zurück zu setzen. Ich scheue mich nämlich davor mit dem Reset alle Einstellungen noch mal neu machen zu müssen.
Gruß Wolfgang
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat