2FA / 2-Faktor Authentifizierung Synology Benachrichtigung

[derschmied]

Hallo,

ich habe ein ähnliches Thema hier gefunden allerdings wurde dort auch keine Antwort gefunden...

Ich möchte gerne 2FA für Nutzer meiner RS1221+ ermöglichen. Allerdings scheint DSM die Einrichtung einer Email für Benachrichtigungen zu verlangen. Gibt es eine Möglichkeit diese systemweit festzulegen?
Bei der Anmeldung eines Nutzer wird diesem ja auch schon eine E-Mail von der DSM versendet.

Muss jeder einzelne User separat eine Email-Benachrichtigung einrichten?

Ich möchte das eigentlich nicht, da Synomail Zugriff auf das Google Konto (Leserechte und Schreibrechte) verlangt. Gibt es eine Möglichkeit 2FA einzurichten ohne Synomail weitreichende Berechtigungen auf Mailaccounts zu geben?

Viele Grüße
derschmied

 

[blurrrr]

Allerdings scheint DSM die Einrichtung einer Email für Benachrichtigungen zu verlangen.

Das dürfte dann wohl das ganz normale Mailkonto für den Versand von Benachrichtungen sein (wird einmalig im System festgelegt und gilt systemweit). Kann natürlich sein, dass noch ein Mailkonto bzw. -Adresse pro User hinterlegt werden muss zwecks Reset-Mail (oder sonstiges).

 

[derschmied]

Genau, das Mailkonto für Benachrichtigungen funktioniert ohne Probleme. Die Frage ist warum oder ob jeder User eine neue Email nur für 2FA separat anlegen muss?
Passwort reset funktioniert z.B. mit der Email die in Control Panel --> Notification hinterlegt ist....

 

[blurrrr]

Najo, vermutlich für irgendwas Notfall-artiges (würde ich jetzt mal so vermuten)... Notfall-Token beantragen, oder so, falls das Smartphone mal abhanden gekommen ist (oder irgendwas dergleichen). Nebst Login+Token sollte es ja sowieso noch immer eine Notfall-Möglichkeit geben, da man ansonsten den Zugang zum Account verloren hätte. So kann vllt nochmal ein Token an die hinterlegte Mailadresse geschickt werden

 

[synfor]

Schon mal daran gedacht, dass user1 und user2 verschiedene Personen sein können? Dass die ganzen Notifikationen vom System wieder an einen anderen User und deren E-Mail-Adresse gehen sollen und die Notifikationen den Usern User1 und User2 nichts angehen?

 

[derschmied]

Ok, so wie ich euch verstehe ist es zwingend notwendig einen eigenen Account zu hinterlegen, schade.
Das Argument mit den verschiedenen Usern verstehe ich nicht. User1 oder User 2 bekommen ja ohnehin eine Email von der gleichen Adresse wenn sie z.B. ein neues Passwort beantragen. Warum man mit dieser keine 2FA Reset Mail verschicken kann wenn es offensichtlich mit Passwort Reset möglich ist erschließt sich mir nicht. Ist aber auch egal muss ich ja nicht verstehen. Werde es dann einfach nicht nutzen.

 

[synfor]

Zeige doch mal einen Screenshot bzw. beschreibe doch mal genauer wo und wofür und wessen Account da verlangt wird. Mir ist das nämlich nicht so richtig klar.

 

[blurrrr]

Also irgendwo wurde hier von 2 Dingen gesprochen... zum einen die Mailadresse zum versenden (sollte halt die DSM-typische sein) und zum anderen die User-Mailadresse (so wie ich das verstanden hab), Screenshot dürfte aber wohl die beste Idee sein ?

 

[Ulfhednir]

Damit die 2FA funktioniert, muss 1.) bei der Diskstation selbst eine Mailadresse hinterlegt werden. Diese wird für diverse Benachrichtungen, u.A. aber auch für die Zusendung des Notfallcodes benötigt.

Screenshot exemplarisch (Achtung DSM 7 - Einstellungen sollten aber analog zu DSM 6.x sein)

2.) Im weiteren muss der persönliche Account eine Mailadresse besitzen. Damit der User im Problemfall auch eine Mail erhalten kann.

Wo ist jetzt das Problem?

 

[derschmied]

Hallo, danke für eure Erklärungen. Dass ich um 2FA zu aktivieren zu können auch eine persönliche Mailadresse hinterlegen muss ist mir klar. Ich habe mich nur gefragt ob es auch ohne geht.
Ich möchte einfach nicht, dass jeder User Synology seine Daten/Kontakte Synology mitteilen muss.
Verstehe einfach nicht warum Synology die Berechtigung "Kontakte aufrufen und herunterladen" benötigt. In früheren DSM Versionen war eine Aktivierung von 2FA auch ohne das Hinzufügen einer persönlichen Mailadresse möglich.

Das klingt nach reiner Datensammlerei und erschließt sich mir nicht.

 

[Ulfhednir]

Den Grund habe ich bereits benannt - Stichwort: Notfallcode per E-Mail.
Und das ist mehr Feature als "Datensammlerei".