DSM 6.x und darunter Administrator Konto teilweise gesperrt

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

FrankEr

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
Hallo zusammen,
ich habe seit gestern auf meiner DS918+ (DSM 6.2.4) ein Problem mit dem Administratorkonto. Gestern waren kurzeitig sämtliche Konton gesperrt. Ursache waren möglicherweise fehlgeschlagene Anmeledeversuche mit dem Administratorkonto bei openVPN. Mittels der Reset-Taste konnte ich das Problem erstmal wieder beseitigen. Nun hat aber der Systemadminstrator nur noch von einem einzigen Rechner Zugriff. Es klappt kein Zugriff von meinen iOS Geräten, weder über Browser noch über die DS Apps. Auch über Quickconnect läuft das Konto nicht mehr. Leider kann ich aber nirgends eine Einschränkung des Kontos auf eine bestimmte IP sehen. Ich finde auch sonst keine Einschränkungen bestimmetr Services für das Konto.

Nachdem ich wieder Zugriff hatte, habe ich ein zweites Adminstrator Konto eingerichtet. Dieses hat von überall Zugrifff auf die DS.

Wo kann ich suchen, um das Problem einzugrenzen?

Grüße
Frank
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Schau mal hier in diesem Bereich, was dort konfiguriert ist:

1647425890874.png

Es könnte sein, dass irgendein Prozess sich falsch anmeldet und der Zugriff für diese IP für eine gewisse Zeit gesperrt wird. Die aktuelle Blockierungsliste ist dort auch einsehbar. Außerdem lohnt ein Blick ins Protokoll-Center, ob dort fehlgeschlagene Anmeldeversuche aufgeführt sind.
 
Zuletzt bearbeitet:

FrankEr

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
OK, Danke schonmal. Da hatte ich gestern schon ausführlich geschaut. Es gab eine IP, die gestern gesperrt wurde. Die hatte ich aber von der Blockierungsliste gelöscht, was jedoch nichts geändert hat. Das Protokoll nennt diese IP natürlich auch. Allerdings ist in dem fraglichen Zeitraum sonst nichts wirklich interessantes geschehen. Lediglich von einer normalen Benutzerkennung (nicht Adiminstrator) hatte ich das Passwort geändert.

Gibt es irgendwo eine Einstellung, das Administratorkonto auf den Zugriff von einer bestimmten IP, einem IP-Range, einem Browser oder einem speziellen Rechner einzuschränken? Möglicherweise besteht das Problem schon länger und ich habe es nur nicht bemerkt, weil ich den Administrator nur selten benutze und wenn dann von genau diesem Rechener aus. Vielleicht habe ich ja vor ewigen Zeiten versehentlich irgendeine Einschränkung vorgenommen, die ich nun nicht mehr finde.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Wenn eine IP gesperrt ist, kann sich auch ein Administrator nicht mehr von dieser IP aus anmelden. Ich glaube auch nicht, dass das Löschen aus der Blockierungsliste die Sperre aufhebt. Da hilft es nur, die IP des Clients temporär zu ändern oder sich von einem anderen Gerät aus anzumelden.
Aber das hilft alles nichts, du musst herausfinden, wieso die Sperre entsteht. Meist sind das irgendwelche Programme, bei denen die Zugangsdaten irgendwann mal fest eingetragen wurden und vergessen wurde, das nach Änderungen nachzuführen.
 

FrankEr

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
Ok, dann schaue ich mal, ob irgendwelche meiner diversen Raspberrypi das Ungemach verursachen
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
1.167
Punkte für Reaktionen
115
Punkte
83
Wenn es eine IP SPerre ist dann sollte man ja schnell raus bekommen welches Gerät diese IP nutzt
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
. Ich glaube auch nicht, dass das Löschen aus der Blockierungsliste die Sperre aufhebt.

doch , das hebt die Sperre sofort auf

passiert oft bei Fehler in den Credentials, dann wird es halt blockiert. Dann logge ich mich von wo anderes ein, zum Bsp auch von aussen mit QC, lösche den Eintrag in der Blockliste und alles geht wieder.
Einen User zu sperren aus einem bestimmten Zugang wird zwar gelegentlich hier im Forum gewünscht, ist aber bis jetzt nicht möglich.
 
  • Like
Reaktionen: plang.pl und Benares

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
passiert oft bei der Verwendung von Password Speichern in Browser
da vertippt man sich mal, schon wird es gespeichert und beim nächsten Versuch gleich mit 'falschen Sternchen' ausgefüllt.
War mein erster Fehler am ersten Tag als ich vor ca 10 Jahren meine erste DS aufgesetzt habe. Konnte mich dann von einem anderen Anschluss korrekt anmelden und Block Liste löschen.
 

FrankEr

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
Wenn es eine IP SPerre ist dann sollte man ja schnell raus bekommen welches Gerät diese IP nutzt
Es ist keine IP-Sperre. Zumindest keine einzelne. Offensichtlich sind alle Zugriffe egal woher (auch QC) auf das Konto gesperrt, außer sie kommen von einem speziellen Rechner. Eine solche Einstellung kann ich aber nirgends finden. Ich habe mehrere andere Rechner auf die IP Freigabeliste gesetzt. Nützt aber nichts.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
das ist nicht alles so einfach
es kommt darauf an welche Quelle 'versteht' die DS
Es ist auch möglich eine Sperrung zu bekommen wenn man von intern eine Anfrage auf DDNS Adresse macht. Das hat dann Folge für alle Geräte die aus dem Netz welche nun so eine Verbindung versuchen.
Auch QC ist nicht immer voll 'von aussen' je nach dem versucht es halt die nächst beste Verbindung aufzubauen

Ein Konto alleine automatisch zu sperren geht nicht, automatische Sperrung gibt es nur für IP, egal ob intern oder extern

Ich denke hier ist es einfach ein Fehler in den Anmeldedaten.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.799
Punkte
314
der Systemadminstrator nur noch von einem einzigen Rechner Zugriff. Leider kann ich aber nirgends eine Einschränkung des Kontos auf eine bestimmte IP sehen. Ich finde auch sonst keine Einschränkungen bestimmetr Services für das Konto.
Wo kann ich suchen, um das Problem einzugrenzen?

Melde dich mit dem funktionierenden zweiten Adminkonto an und dann geh in die Zeile von dem Adminkonto wo nur ein PC Zugriff hat.
Hast du irgendwann mal vielleicht da herumgespielt:

dsm_auf_ip_beschraenken.png

Für mich schaut das so aus, als ob du dort DSM für dieses eine Adminkonto auf diese IP eingeschränkt hast und daher nur mehr dieser PC Zugriff hat auf DSM. Entweder nimmst du den grünen Haken in der Spalte "Nach IP" in der Zeile DSM wieder heraus, oder du setzt den Haken wieder in die Spalte "Zulassen".

Anmerkung:
Das Drücken der Resettaste für 4 Sekunden, setzt nur das Konto "admin" und im Normalfall dessen Kennwort (*) zurück und hebt diverse Blockierungen, 2FA, Secure SignIn usw auf, aber es ändert nichts an Userkonten welche du angelegt hast und in die Gruppe Administratoren gehoben hast. Die bleiben davon unberührt und eine etwaige IP Freigabe bleibt auch nach dem Reset Aufrecht.

*) normalerweise wird das Kennwort vom Systemuserkonto "admin" zurückgesetzt durch den Reset, ausgenommen man hat dies explizit ausgeschlossen:
admin_kennwort_bei_reset_behalten.png
aber das muss bewusst eingestellt worden sein um eine Kennwortänderung auch durch die Reset-Taste zu verhindern.
 
Zuletzt bearbeitet:

FrankEr

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
Genau die Stelle hatte ich ja auch schon im Verdacht, aber leider sieht s dort für das teilweise gesperrte Konto so aus:

1647511319170.png

Für den Fall, dass die Synology hier nicht die Wahrheit anzeigt, habe ich DSM auf "Nach IP" umgestellt und anschließend wieder zugelassen und dasselbe nochmal mit "Verweigern". Kein Erfolg. Es bleibt alles beim Alten: Anmeldung nur von einem einzigen Rechner aus.

EDIT: Auch das Herausnehmen des Users aus der Admingruppe und anschließendes Hinzufügen führt nicht zu Änderungen.

Danke auch für die Hinweise rund um das "admin" Konto. Dort hatte ich keine Ädnerungen vorgenommen. "Admin-Kenwort beibehlaten" ist also nicht angehakt.
 
Zuletzt bearbeitet:

FrankEr

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
Ok, dann schaue ich mal, ob irgendwelche meiner diversen Raspberrypi das Ungemach verursachen
Das Ergebnis hier ist auch gleich Null. Diverse raspis mounten einfach Verzeichnisse auf der Synology um dort Daten abzulegen. Die Mounts funktionieren alle einwandfrei und verwenden natürlich nie das Administratorkonto, sondern einen der normalen Benutzeraccounts.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Schau dir die Geschichte auch mal umgekehrt über Systemsteuerung->Anwendungsberechtigungen->DSM->Bearbeiten an.
Evtl. ist dein Benutzer auch in einer Gruppe für die eine IP-Einschränkung gilt.
 

FrankEr

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
Auch da war ich schon drin, aber ein zweiter Blick schadet ja nie. Doch leider:
1647526760643.png

Die bedien unteren Einträge sind meine beiden Admins, der obere von beiden ist der, der mit den Einschränkungen. Für die Gruppe gibt es auch keine Einschränkungen:

1647526896936.png
Und: Ja, der fragliche Account gehört in die Gruppe administrators.

Kann ich irgendwie im Terminal forschen um ?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Bei mir ist im Reiter Standard-Berechtigungen der Haken gesetzt und es sitzen überhaupt keine Häkchen bei Benutzer oder Gruppen (Default) . Bei dir nicht? Und wenn nein, dann wozu nochmal über Gruppen und über Benutzer. Sind die beiden keine administrators?
 

FrankEr

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
An diesen Stellen habe ich selbst Nullkommanix geändert. D.h. das DSM hat die Häkchen gesetzt (oder nicht gesetzt). Unter Standard-Berechtigungen für DSM sieht es bei mir so aus:

1647545353474.png

Ich habe probehalber mal den Haken in der Einzeleinstellung "Zulassen" entfernt, so dass eigentlich die Standardberechtigung greifen sollte. Aber auch das hat keinen Erfolg.

Zusätzlich habe ich nochmal die Protokolle bis 2018 zurück durchforstet, ob hier irgendetwas auffällig ist. Leider auch kein Ergebnis.
 

FrankEr

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
17
Punkte für Reaktionen
1
Punkte
3
... immerhin ist es mir inzwischen gelungen einen zweiten Rechner (mit 2 IPs, LAN und WLAN) aufzutreiben, von dem der Login mit dem Administrator auch funktioniert
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat