Photo Station Photo Station und Zugriffsbeschränkungen über das Internet

[drnickriviera]

Hallo zusammen. Ich habe mir letzte woche eine DS213j besorgt und bin nun etwas ratlos. Ich hatte vor meine Bilder zu sichern und mir gleichzeitig einen Zufriff über das Internet zu erlauben. Dabei sollen die Benutzer die über das Intenet zugreifen nicht die möglichkeit haben Bilder zu löschen. Da dies anscheinend nicht so einfach ist wollte ich stattdessen den Benutzern der Photo Station lediglich lese Zugriff geben. Mein Problem ist, dass ein DSM-Administrator auch immer Administratorrechte in der Photo Station zu haben scheint. Lässt sich dass irgendwie ändern, oder kann ich das ganze auch irgendwie anders lösen?

 

[ottosykora]

Mein Problem ist, dass ein DSM-Administrator auch immer Administratorrechte in der Photo Station zu haben scheint.

nicht ganz sicher wo das Problem ist.
Klar der Admin muss doch alles können. Also wenn der Admin keinen Zugriff mehr hätte, wer kann noch nachträglich was ändern?

Also ja, man kann weitere Administratoren anlegen und den eigentlichen Admin löschen, aber man muss bedenken, dass der Admin auch die Rootrechte auf der Kommandozeile hat, was andere nicht haben.

In der Photo Station kann man doch separate User anlegen die unabhängig sind von den DSM Usern und dann kann man auch alle Rechte dort nur für die PS User verwalten. Es ist dort alles vielleicht etwas einfach gehalten, dafür übersichtlich und schnell konfigurierbar.

 

[drnickriviera]

Danke für die Antwort. Nochmal das Problem:

Das NAS sollte eigentlich als Backup dienen. Nun ist es natürlich sehr nett von extern über die Photostation einen Zugriff auf die Bilder zu haben. Allerdings sollte es nicht die Möglichkeit geben dass jemand von extern Bilder löschen kann. D.h. Über das Internet sollte lediglich ein Lesezugriff bestehen.

Ich hatte mir das so vorgestellt, dass ich einen eigenen DSM-Administrator für die Photostation anlege und den dann über ein anderes DSM-Administratorkonto deaktiviere. Um Änderunden an der Photostation vornehmen zu können müsste der dann wieder aktiviert werden. Ein wenig kompliziert, aber im laufenden Betrieb hätte kein PS-Nutzer ein Schreibzugriff. Leider ist jeder DSM-Nutzer und damit jeder DSM-Administrator auch automatisch PS-Nutzer.

Hat jemand vielleicht ne Idee wie man das anders lösen könnte?

 

[Fusion]

Du kannst die PS Benutzer entweder von den DSM-Nutzern ableiten oder getrennt verwalten.
Mann kann also einfach Nutzer anlegen die nur Leserechte haben. Diese haben dann auch keinen Zugriff auf das DSM.
Einzig der DSM-Admin ist auch Admin in der PS.

Von extern nur mit eingeschränkten Benutzern anmelden und niemand wird etwas löschen.

Du störst dich jetzt daran, dass man sich von extern als Admin an der PS anmelden kann?

 

[ottosykora]

Ich hatte mir das so vorgestellt, dass ich einen eigenen DSM-Administrator für die Photostation anlege und den dann über ein anderes DSM-Administratorkonto deaktiviere. Um Änderunden an der Photostation vornehmen zu können müsste der dann wieder aktiviert werden. Ein wenig kompliziert, aber im laufenden Betrieb hätte kein PS-Nutzer ein Schreibzugriff. Leider ist jeder DSM-Nutzer und damit jeder DSM-Administrator auch automatisch PS-Nutzer.

nun ja, es gibt durchaus die Möglichkeit das wirkliche Admin Konto der DSM zu deaktivieren und ein anderes 'Admin2' für die DSM zu machen. Das haben die meisten Leute so. Dann ist auch dieser neue 'Admin2' der Oberadmin auch für die PS und kann die PS internen Admins erstellen oder löschen. Jemand muss es tun können. Es muss immer noch ein Administrator da sein, der auch den PS Administrator erstellen und allenfalls wieder löschen oder bearbeiten kann.
PS ist ja ein Teil der DS und muss irgendwie noch bedienbar sein. Wenn du also den Admin, welcher auch den PS Admin angelegt hat auch noch deaktivieren willst, wer wird dann noch irgendetwas später ändern können, oder einen anderen Admin einsetzen?
Das wäre gleich wie wenn du deine Wohnung schliesst und dann die Schlüssel wegwerfen würdest.

Ein DSM Administrator, wenn er auch etwasd administrieren kann, ist Mitglied der Administratoren Gruppe und der hat dann eben Zugriff auf (fast ) alles. Darum ist er eben Administrator.
Was du dir vorstellst erfüllt deine Anforderungen in keiner Weise. Du erstellst einen DSM(PS) Administrator zusätzlich zu den anderen DSM Administratoren.
Mit diesem legst du die PS User und den internen PS Administrator fest.
Dann deaktivierst du genau diesen einen DSM(PS)Administrator mit Hilfe eines anderen DSM Administrators.
Was bleibt übrig?
Der DSM Administrator mit dessen Hilfe die den anderen DSM(PS) Administrator deaktiviert hast.
Da der übriggebliebene Administrator immer noch alle Rechte hat (jemand muss sie ja immer noch haben), kann von nun an dieser alle Admin Aufgaben auch auf der PS vornehmen, weil er ja Mitglied der Administrator Gruppe ist.
Also völlig nutzlose Operation.

 

[drnickriviera]

@Fusion: Genau. Es stört mich, dass man sich als Admin von extern anmelden kann. Die Funktion brauche ich nicht und warum sollte ich dass dann zulassen.

@ottosykora: Du bringst es auf den Punkt. Deshalb wollte ich einen DSM-Admin der nicht gleichzeitig auch PS-Admin bzw. Benutzer ist. Aber alle DSM Benutzer sind auch PS-Benutzer. Bei der Audio Station bzw. Video Station ist das nicht so.

 

[ottosykora]

@Fusion: Genau. Es stört mich, dass man sich als Admin von extern anmelden kann. Die Funktion brauche ich nicht und warum sollte ich dass dann zulassen.

@ottosykora: Du bringst es auf den Punkt. Deshalb wollte ich einen DSM-Admin der nicht gleichzeitig auch PS-Admin bzw. Benutzer ist. Aber alle DSM Benutzer sind auch PS-Benutzer. Bei der Audio Station bzw. Video Station ist das nicht so.

Wie schon von Fusion erwähnt: Du kannst für die PS wählen ob du die DSM Konten verwenden willst oder spezielle PS Konten.
Dann kannst du auch einen extra Admin für die PS *in der PS* einrichten. Das muss ein richtiger DSM Admin einstellen. Ein DSM Admin kann alles. Der original Admin hat sogar Rootrechte auf der Konsole. Man kann doch nicht ein System einmal aufsetzen und dann alle weitere Admin Möglichkeiten löschen und damit es für Zukunft unbrauchbar machen. Und der Admin kann nun mal alles, auch die PS oder Audio Station verändern oder gar komplett löschen.
Bedenke bitte, das sind alles nur Programme die auf dem Betriebssystem der DS laufen und wer Zugang zu dem Betriebssystem hat kann es auch beliebig verändern oder auch zerstören. Wir sind da ja nicht bei Android ;-) . Wenn der DSM Admin einen PS Admin erstellt, muss er ja die Möglichkeit haben ihn auch wieder ändern oder löschen können.
Was du verlangst ist ein Betriebssystem für einmaligen Gebrauch, also einmal aufsetzen, dann alles sperren und wenn es nicht mehr so läuft wie gewünscht einfach wegwerfen.


Darum kann es das was du willst nicht geben und ich hoffe es wird es auch nie geben.

 

[Fusion]

Ich denke es ist jetzt klar was drnick gerne hätte. Das ist zur Zeit nur einfach so nicht möglich.

Ich denke auch, dass es aber durchaus möglich wäre von Synology das anzubieten.
Natürlich kann der admin/root weiterhin alles auf der Diskstation tun und lassen, aber genau wie bei SSH könnte man ihm den Remote-Zugriff entziehen. Den könnte er sich zwar jederzeit wieder selbst geben, aber das ist ja nicht der Punkt. Es geht ja nur um die Benutzer und Rechte die sich von extern an der PS/Webserver anmelden.
Das ist eben gerade ein "Fehler" im System-Design, eine separate Benutzerverwaltung gibt es ja schon. Der DSM Admin müßte nicht unbedingt auch PS Admin sein. Aber vielleicht gibt es im Moment einfach Randbedingungen in der aktuellen Umsetzung die das eben bedingen und die wir nicht kennen.

Sinnvoll wäre das allerdings nur, wenn man gleichzeitig auch noch unterscheiden könnte, ob der Zugriff von LAN oder WAN Seite erfolgt. Jedenfalls will ich nicht ständig Benutzer aktivieren/deaktivieren um zwischen Lese/Schreibrechten umzuschalten. Ich brauche von allen Richtungen Nutzer die auch Bilder hinzufügen (und damit auch löschen) können.

 

[ottosykora]

Sinnvoll wäre das allerdings nur, wenn man gleichzeitig auch noch unterscheiden könnte, ob der Zugriff von LAN oder WAN Seite erfolgt.

ja, das wäre die Bedingung, sonst sperrt man sich definitiv komplett aus. Klar wenn man so wie es einige Leute tun dem Root-Admin einige Protokole wegnimmt, dann hat er zwar alle Rechte aber Zutritt nur über bestimmte Protokolle, nur der Traffic kommt halt von dem lokalen Router und woher der es bekommt ist ja zuerst nicht ersichtlich.
Ja, wenn man dem Admin jeden Zugang über http/https wegnehmen will, gut, nur dann muss man sich eben mit SSH und CLI durchbeissen, für alles was danach kommt. Geht sicher, aber ist das wirklich der Sinn von einem NAS?.

Der DSM Admin muss nicht PS Admin sein? Nun man kann die 'nur PS' Admins erstellen. Aber einen PS Admin muss zuerst jemand erstellen der noch mehr Rechte hat. Das ist eben der DSM Admin. Wer denn sonst? Jemand muss berechtigt sein diese Admins anzulegen und wieder löschen. Wer soll es sein ausser einem DSM Admin?

Ja, vor Jahren hatte ich irgendein Gerät, da konnte man die User und etc nur via RS232 Kabel einstellen, über ethernet Leitung konnte man keine Konfig machen. Ja, das war dann aus diesem Gesichtspunkt wohl optimal, niemand konnte da was ändern. Aber wer will schon 15 Jahre zurück.