DSM 6.x und darunter Ausgesperrt nach 2 Faktor Atkivierung

[HansMeier620]

Hey,

Ich habe gestern 2 Faktor für die Admingruppe aktiviert. (Einfach nur den Haken gesetzt, nichts personalisiert..)
Danach habe ich Quickconnect deaktiviert und mich ausgeloggt.

Heute wollt ich mich als Admin einloggen und ich natürlich wurde nach dem 6 stelligen Code gefragt.
Soll der Code auf meiner Mail oder auf meinen Handy als SMS ankommen. Ich weiß erhlich gesagt gar nicht wie 2 Faktor bei DSM funktioniert.
Es kam bis jetzt kein Code an.
Dann hate ich auf Telefon verloren geklickt. Dann kam:
Ein Notfallcode wurde an ihre E-Mail-Adresse gesendet.

Aber es kommt immernoch kein Code an.

Wo sollte dieser Code normaler ankommen und wo sollte er nachdem man auf "Telefon verloren"klickt ankommen?
Habe ich es vielleicht unmöglich gemacht indem ich Quickconnect deaktiviert habe?

Es geht um eine DS118j.
Habe ein aktuelles Backup auf ner ecternes Festplatte?

Kann ich nur den Adminzuguang mit ner Tastenkombi am Gerät resetten?

wie würdet ihr vorgehen?

Danke schonmal

Ergänzung:

Ende Januar habe ich noch eine Email erhalten mit den abgeschlossenen Backup Tasks....

Einen SMS Service habe ich nicht eingerichtet.

 

[Kurt-oe1kyw]

Vorweg es ist nichts passiert.
Drück hinten auf der DS 4sek lang den Resetknopf, also bis zum 1. Piep. Dann loslassen.
Das setzt u.a. das Adminkennwort zurück und deaktivert die 2FA.

Dann 2 FA wieder einrichten, der Code wird durch eine APP am handy erzeugt. Er ist ca. 30 sek lang gültig.
Dann kommt der nächste Code, so lange die "Torte" also blau ist und abläuft gilt der Code.
Danach den nächsten Eingeben.

Es gibt verschiedene APPs welche den Code erzeugen, ich nutze zB google authenticator
Bei der 2FA Einrichtung da siehst du ein Quadrat mit Kästchen (=QR Code) im google authenticator auf PLUS + klicken und dann die Kamera vom handy auf diesen QR Code halten.
Du wirst aufgefordert den ersten Code einzugeben, es ist quasi die "Gegenprobe" ob alles läuft.
Nur wenn der erste Code korrekt eingegeben wurde, wird die 2 FA tatsächlich scharf geschaltet.

Der Haken "Admins zwingen zu 2 FA" ist nur die Aufforderung dass sie dies tun!
Du solltest dich also immer noch mit admin und Kennwort einloggen können!
Erst rechts oben dann Optionen > Persönlich > Konto > HIER richtest du jetzt die 2FA für den admin ein.
Es MUSS ZWINGEND der NTP Zeitserver laufen um eine absolut korrekte Uhrzeit auf der DS zu haben!
Sonst passen die Code aus der handy APP nicht zusammen!
Der Code wird erzeugt aus Username, DS, Name, Kennwort und der gerade aktuellen Uhrzeit!
Stimmt die Uhrzeit der DS nicht, dann stimmen auch die Codes nicht im 30sek Zeitfenster.

Siehe auch:
https://kb.synology.com/de-de/DSM/help/DSM/MainMenu/account?version=6


Solltest du DSM7 verwenden dann könntest du statt 2 Fa die SecureSignIn Funktion verwenden.
Das ist ähnlich wie zB bei Bankgeschäften. Du loggst dich am PC ein und nach Eingabe vom Namen erhältst du in der SecureSignIn APP am handy die Benachrichtigung das User X sich gerade an der DS Anmelden möchte? Du kannst es dann gestatten oder verweigern.
Zur Bestätigung dann noch Fingerabdruck am Fingersenser vom handy oder handy Pin eintippen.
Erst nach deiner Freigabe am handy lässt die DS die Verbindung vom PC zum Einloggen ins DSM zu!





Für Secure SignIn ist ZWINGEND Quickconnect aktiv erforderlich! Sonst läuft es nicht mit SecureSignIn am handy und DS!
Secure SignIn UND 2 FA ist NICHT möglich! Entweder 2FA oder Secure SignIn ab DSM 7 verfügbar.
handy APP Secure SignIn erforderlich.

TIPP 2FA QR CODE:
Bei der Einrichtung unbedingt den QR Code "sichern", also abfotografieren, screenshot usw und NICHT am PC oder DS speichern, sondern auf zB USB Stick.
Du kannst dann später weitere handys mit deinem 2FA Generator verwenden und wieder diesen Code einlesen!
Also zB handys von PartnerIn, Geschwister, Elterns usw Einfach app installieren und code einlesen.
Sie können mit dem Code nichts Anfangen zuerst muss Name und Kennwort eingegeben werden dann der 6 stellige Zahlencode.
Die APP generiert alle 30 sek neue Codes, siehe Torte, die läuft ab. Dann kommt der nächste Code.

ACHTUNG!
DSM 6 > Optionen (=das Kopfsymbol rechts oben) > Persönlich > Konto > 2 FA ----> bei DSM 6 kannst du hier durchklicken bis zum QR Code und diesen "wieder holen" um ein anderes handy anzulernen.

ABER WARNUNG BEI DSM 7:
DSM 7 > Optionen (=das Kopfsymbol rechts oben) > Persönlich > Konto > KEINESFALLS auf 2 FA KLICKEN!
Das erzeugt bei DSM 7 sofort eine neue 2 FA! Dh die Codegeneratoren die bisher auf den handys gelaufen sind funktionieren nicht mehr!
Sie liefern jetzt falsche Codes! Da der QR Code geändert wurde durch den abermaligen Aufruf!
Dh. Codes auf den handys löschen und den neuen QR Code einlesen damit wieder "gültige" zur DS und Usernamen passende 6 stellige Zahlencodes generiert werden!
Daher noch mal mein Tipp:
Wenn du zum 1. Mal den QR Code siehst sofort abfotografieren oder screenshot auf usb speicherstick und bei Bedarf von dort neu einlesen für neue/andere handys, tabletts usw usw

 

[HansMeier620]

Dann 2 FA wieder einrichten, der Code wird durch eine APP am handy erzeugt. Er ist ca. 30 sek lang gültig.
Dann kommt der nächste Code, so lange die "Torte" also blau ist und abläuft gilt der Code.
Danach den nächsten Eingeben.

OMG. Danke. Ich benutze ja Authy. Ganz vergessen, dass ich das damit eingerichtet hatte.

Funktioniert.....
War heute einfach durch den Wind.

 

[Kurt-oe1kyw]

Kein Problem, dafür ist das Forum ja da.
Wie erwähnt "bequemer" ist es unter DSM 7 mit der neuen Funktion Secure SignIn APP.
Du gibst im DSM Login nur mehr den Usernamen ein, auf das handy musst du sowieso entweder für 2FA Code und diesen Eintippen oder in der Secure SignIn APP einfach nur auf "Genehmigen" tippen, fertig.
Kein umständliches Eintippen mehr von Kennwort und danach 6 stelligen Zahlencode, sondern nur mehr auf "Genehmigen" tippen, fertig.