meine app FreeOTP leider den falschen Code ausspuckt und mir DSM eine Fehlermeldung auswirft, dass der Code nicht stimmt.
Das sollte fast unmöglich sein, da bei der Einrichtung der FA als erster Schritt IMMER ein Kontrollcode generiert wird und nur wenn dieser Kontrollcode ordnungsgemäß funktioniert kannst du die 2 FA vollständig und korrekt abschliessen.
Sollte der Kontrollcode schon nicht stimmen, sollte die 2 FA sich gar nicht weiter Einrichten lassen!
Hat der Kontrollcode jetzt funktioniert bei dir?
wollte nun die 2 Stufen Verifikation zurücksetzen und habe in der DSM Einstellung aber festgestellt, dass dies gar nicht geht. Der Haken ist ausgegraut und ich kann ihn nicht deaktivieren.
Ich glaube hier ist bei deiner Einrichtung der 2 FA schon etwas schief gelaufen, das könnte auch der Grund sein warum die Codes nicht funktionieren.
Aber der Reihe nach.
Das was du beschreibst bezieht sich auf das Verhalten, welches der Admin für die 2 FA vordefiniert hat. Im Detail:
Der Admin der DS definiert WER zwingend die 2 FA zu benutzen hat, WENN er dies tut, dann hat der User das graue (inaktive) Feld mit dem Haken und er kann selbst nicht wählen! Die Funktion ist für ihn deaktiviert. Das ist der Zustand welchen du gesehen hast.
Schritt 1, Admin definiert WER 2 FA benutzen kann/darf/muss:
DSM > Hauptmenü > Systemsteuerung > Benutzer > Register "Erweitert" > ganz unten findest du die 2-Stufen Verifzierung. HIER defniert der Admin ob ZWINGEND User die 2 FA Benützen müssen!
Setzt der Admin hier den Punkt auf "Benutzer der Administratoren Gruppe", so MÜSSEN alle Admin und User mit Adminrechten ZWINGEND die 2 FA verwenden! In ihren Optionen ist dann das Feld der 2 FA grau und inaktiv!
ABER alle anderen Benützer können, aber müssen nicht, die 2 FA verwenden. Sie können frei wählen, die Option 2 FA ist in Ihren Einstellungen frei wählbar und somit aktiv.
Schritt 2, der einzelne User richtet sich seine 2 FA ein:
Menüzeile rechts oben > Optionen (=der weisse Kopf zwischen Lupe und Sprechblase) > Persönlich > neues Fenster > Register Konto:
HAT der Admin in Schritt 1 die Vorgabe gesetzt das dieser USER ZWINGEND 2 FA nutzen muss (zB weil er User mit Adminrechten ist) DANN ist das Fehld hellgrau inaktiv, die Entscheidung hat im der Admin abgenommen! Er MUSS zwingend die 2 FA verwenden und einrichten! Dazu auf "2-Stufen Verifizierung" klicken und einrichten.
HAT der Admin diesem entsprechenden User aber nicht den Zwang einer 2 FA auferlegt, so ist bei diesem User jetzt das Feld mit dem Haken aktiv und der User kann (aber muss nicht) die 2 FA für sich Einrichten. Ganz nach seinem Wunsch ob er sie Nutzen möchte oder nicht.
Hinweis: Unter Kontoaktivität ist die Option versteckt, dass der User ein bereits gespeichertes Gerät eintragen kann, damit er von diesem Gerät aus nicht jedesmal die 2 FA eintragen muss. Klickt der Admin aber auch die Fläche "Andere Geräte nicht mehr speichern" so werden alle gespeicherten Geräte gelöscht und jeder User muss wieder den Code der 2 FA eintragen!
Seit einiger Zeit kann man auch das Accountkonto selbst am Synologyserver durch 2 FA separat sichern. Der Code ist in der APP eingetragen.
die 2 FA generiert sich aus mehreren Teilen, auch der Username MUSS korrekt geschrieben sein, sonst funktionieren die generierten Codes nicht!
Bitte prüf noch mal ob alle deine Einträge stimmen, das kannst du hier jederzeit machen:
DSM > Menüzeile oben > Optionen > Persönlich > neues Fenster > Register Konto > 2-Stufen Verifzierung anklicken > folge den Anweisungen bis du zur Seite mit dem QR Code kommst. Klick auf den blauen Text mit dem geheimen Schlüssel!
NEUES FENSTER! > HIER siehst du jetzt für welchen Usernamen und für welchen Servernamen der QR Code eingerichtet wurde. Kontrollier an dieser Stelle, ob die exakt gleiche Schreibweise von deinem Usernamen UND deinem DS Servernamen hier steht! Drunter steht dein geheimer Code.
Das Konto MUSS in folgender Form angezeigt werden "Username@DSSERVERNAME".
Diese Daten und den geheimen Schlüssel kannst du manuell in deine APP eintragen, der generierte Code sollte dann funktionieren, vorausgesetzt die Zeit am handy und auf der DS laufen absolut synchron. Auch in deiner APP MUSS ZWINGEND der Eintrag exakt so vorhanden sein, also mit "Username@DSSERVERNAME und generierter Code aus deiner DS! Der Code aus der APP wird aus den Bestandteilen von Username@DSSERERNAME, Code von der DS und der synchronslaufenden Uhrzeit auf beiden Geräten generiert. Stimmt nur ein Zeichen nicht überein, erhältst du einen falsch generierten Code aus deiner APP am handy.
Der Code ist immer nur einige Sekunden gültig! Ist die Zeit abgelaufen muss der nächste, neue Code zeitgerecht eingegeben werden!
Bei der google auth APP wird dies durch das kleiner werdende Tortendiagramm angezeigt. Ist die "Torte" fast weg, macht es keinen Sinn den Code einzugeben, da die Zeit sicherlich schneller abgelaufen ist, als bis du den richtigen Code vollständig eingetippt hast! Warte bis ein neues Tortendiagramm mit neuem Code erscheint und gib dann diesen Code ein. Er muss vollständig an die DS übertragen worden sein, BEVOR das Diagramm und somit die Zeit abgelaufen ist!
