2FA für Zugriff auf Drive über das Internet

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
643
Punkte für Reaktionen
54
Punkte
54
Hi!

Ich nutze Drive von extern, wenn ich unterwegs bin. Dazu läuft auf meiner Firewall einen Reverse-Proxy und die Anmeldung an Drive geschieht über die vorhandenen Active-Directory Benutzer, eingerichtet auf dem DS Directory Server.

Wäre es möglich, ausschließlich für den Zugriff auf Drive, von extern, 2FA einzurichten? Mit dem Microsoft Authenticator?

Wenn dies umsetzbar wäre, ist dann der interne Zugriff, bspw. mit dem Drive-Client auf dem Android Smartphone oder auf dem iPad ebenfalls nur mehr über 2FA möglich? Könnte man letzteres dann aber verhindern, da mMn nicht sinnvoll bzw. unproduktiv?

Michael
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
2FA lässt sich m.W. unter DSM nur benutzerbezogen einrichten. Weitere "Begrenzungsmöglichkeiten" gibt es m.W. nicht.
Man könnte das ggfs. nur über den Reverse Proxy direkt einrichten. Es gibt RPs mit 2FA Möglichkeit. Vielleicht gibt es da einen, der nur bei Zugriff durch nicht-lokale IPs einen 2FA vorschaltet. Ansonsten könnte man sich zwei verschiedene Proxies bauen, was aber wieder 2 unterschiedlichen FQDNs mit sich bringen würde. Was ist das für eine Firewall und was läuft da für ein RP?
 
  • Like
Reaktionen: Yippie

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
643
Punkte für Reaktionen
54
Punkte
54
Die Firewall ist IPFire und dort läuft als Reverse-Proxy HAProxy.

Die Frage ist, selbst wenn HAProxy die 2F Authentifizierung beherrscht, dann müsste dies in Abhängigkeit des Ziel Dienstes passieren.

Grund, ich betreibe über den RP auch meinen CalDAV und CardDAV Server, die ebenfalls von extern erreichbar sind und da wäre eine pauschale 2FA kontraproduktiv.
 

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
643
Punkte für Reaktionen
54
Punkte
54
Also, ich habe jetzt einfach Mal 2FA für meinen Domänenbenutzer eingerichtet.
Da ich ohnehin nur Drive nach extern hoste und sonst keine weiteren der Synology Dienste (alles andere läuft im Containet) habe ich nun tatsächlich 2FA, wie gewünscht, für Drive aktiv.

ABER: auch der Drive Client auf dem iPad will nun einen 6 stelligen Code, ebenso wie aufm Smartphone.
Gut, per se jetzt nicht das große Problem denn ich kann die beiden Geräte als vertrauenswürdig einstufen. Was dies in der Praxis nun bedeutet wird sich noch herausstellen, aber fürs erste siehts schon Mal nicht schlecht aus.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
müsste dies in Abhängigkeit des Ziel Dienstes passieren.
Ja. Bei der direkten Freigabe nach extern ist ja ohnehin ratsam, pro Anwendung eine Subdomain einzurichten und nicht den DSM-Port ins Netz zu hängen. So hat man pro Anwendung einen RP und kann dort 2FA eben an oder ausmachen
 
  • Like
Reaktionen: Yippie

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
643
Punkte für Reaktionen
54
Punkte
54
Ja, so mache ich das, genau genommen hat jeder Dienst eine Subdomain mit SSL Termination. Haproxy machts möglich (y)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat