SafeInCloud mit WebDAV nutzen

[antineutrino]

Hallo zusammen,
ich bin seit Kurzem stolzer Besitzer einer DS918+ und möchte nun auch meine Passwortverwaltung SafeInCloud auf meiner NAS nutzen. Diesbezüglich gibt es bereits einen interessanten Beitrag, allerdings hilft mir dieser für meinen Fall nicht ganz weiter.

Folgendes Szenario: Ich nutze ausschließlich VPN für die Verbindung auf die NAS. Ich möchte daher auch keine Ports freigeben. Um SafeInCloud zu nutzen, muss ich allerdings WebDAV aktivieren. Daher ergeben sich folgende Fragen:

• HTTP oder HTTPS? Kann ich nur im eigenen LAN auch gefahrlos mit HTTP arbeiten? Sofern ich HTTPS nutzen möchte, brauche ich aber ein Zertifikat auf meinem Rechner -->
• Let's Encrypt nötig? Kann ich das Synology eigene Zertifikat nutzen? Brauche ich ein Zertifikat von Let's Encrypt? Aber welche Domain soll ich dann bei L.E. angeben? Die lokale IP?
• Nutzerrechte: Anscheinend habe ich keine Schreibrechte mit dem normalen Benutzer? Muss ich das Adminkonto verwenden oder das Verzeichnis "Homes" für den normalen Benutzer freigeben?

VIELEN DANK für euren Rat!

 

[TeXniXo]

Ad 1) Ja, korrekt.
Ad 2) Ja - zB. DDNS, denn Zertifikate können keine IPs erfassen
Ad 3) Nein, dann kannst du in Systemsteuerung / Benutzer die Rechte entsprechend anpassen. Bei "homes" haben nur jene User ihre Rechte auf "eigenen" Ordner.

 

[antineutrino]

Das heißt das Synology-eigene Zertifikat kann ich für HTTPS im lokalen Netzwerk nicht nutzen, Let's Encrypt auch nicht, da keine Domain vorliegt. Somit bleibt mir ja nur noch HTTP im lokalen Netz? Ist das sicher?
Wenn ich allerdings den Zugriff über meinen User und HTTP versuche, erhalte ich die Fehlermeldung "Authentifizierung fehlgeschlagen. Benutzername oder Kennwort nicht korrekt". Der Haken für die Berechtigung "WebDAV Server" ist auf "zulassen" für diesen Nutzer.
Wenn ich den Zugriff mit meinem Admin-Konto durchführe, geht es sofort! Das gleiche Problem wie hier, ich weiß nur nicht, wie ich es noch einstellen kann: https://www.synology-forum.de/archive/index.html/t-95918.html Homes freigeben?

 

[TeXniXo]

Was heißt hier "sicher"? Wie du eh vermutlich weißt, entstehen 99% der Probleme von der Person, die vor dem PC bzw. indirekt vor der Diskstation sitzt
Generell: wenn du daheim keine weiteren technik-inaffinen Personen hast, ist es relativ sicher außer du selbst bist eine davon?

Jetzt im Ernst: Daheim ist die DS jedenfalls sicherer als wenn die DS "online" ist.
Daheim via WebDAV hat wenig Sinn, da kannst du gleich via Explorer oder Finder darauf zugreifen. Aber testerhalber sollte auch so die WebDAV-Verbindung funktionieren.

Hat dieser User auch Berechtigungen für den freigegebenen Ordner in petto?

 

[antineutrino]

Danke für die schnelle Antwort! Der DAU ist wohl wieder am Werk, daher öffne ich die NAS auch gar nicht nach außen
Safe in Cloud akzeptiert nur WebDAV, keine direkte Netzwerkverknüpfung. Schade.

Ich bekomme es nur über das Admin-Konto in einem Ordner im Hauptverzeichnis hin. Hätte noch versucht den Ordner zu ändern auf home/SafeInCloud_Datenbank/... des betroffenen Benutzers. Funktioniert auch nicht. Berechtigungen sowohl für den Ordner (Vollzugriff) als auch WebDAV (Systemsteuerung --> Benutzer --> Applikationen: Haken bei WebDAV Server auf "zulassen"). Ist es ein Risiko mit dem Admin zu synchronisieren? Mir wäre es natürlich anders lieber.

***Kurzes Update: Es liegt offensichtlich in den Berechtigungen von WebDAV. Ich kann mich auch nicht bei WebDAV über die DS-Oberfläche einloggen, wenn mein Benutzer eingeloggt ist. Angeblich hätte ich keine Berechtigungen. Hab das aber nun mehrfach geprüft, dass das Häkchen korrekt ist. WebDAV-Dienst habe ich auch schon neu gestartet. Keine Besserung. Alleine scheine ich mit dem Problem aber nicht zu sein, ich finde nur nirgends eine Lösung:
https://www.synology-forum.de/showt...te-für-WebDav&highlight=webdav+admin+benutzer
https://www.synology-forum.de/showt...-Adminaccount&highlight=webdav+admin+benutzer

 

[antineutrino]

Konnte den Fehler nun weiter eingrenzen: Der WebDAV-Zugriff funktioniert nur als Admin. Folgende Konfiguration:

DS918+ mit DSM 6.2.2-24922 Update 3
Paket WebDAV installiert und funktioniert über Admin-Konto
Weiterem Benutzerkonto alle Rechte für WebDAV eingeräumt

Beim Login mit dem Benutzerkonto über die Browseroberfläche erscheint zwar das Symbol "WebDAV" aber es kommt die Meldung "Dieses Benutzerkonto verfügt nicht über die erforderlichen Berechtigungen, um diese Aktion auszuführen".
Habe nun ein Ticket bei Synology erstellt. Sollte jemand allerdings einen Hinweis haben, wäre ich sehr dankbar. Das Problem gibt es ja anscheinend öfter, aber nirgends finde ich einen Lösungsansatz.

 

[ottosykora]

also ich verwende Webdav auch immer noch oft, local macht es nicht viel Sinn aber es geht auch. Ich verwende es von aussen.
Bei der DS wo ich es öfter verwende habe ich kein LE, sondern ein einfaches Seflsigned Zertifikat. Geht damit auch, ich musste halt mal bestätigen dass ich dem vertraue.
Geht eigentlich prima.

 

[antineutrino]

Ich bekomme es nichtmal lokal über HTTP hin. Hätte nun auch noch einen Benutzer nur für WebDAV angelegt und die WebDAV-Berechtigung erteilt. Nach dem Einloggen über die DS-Oberfläche bekomme ich beim öffnen der App "WebDAV" wieder den Fehler: "Dieses Benutzerkonto verfügt nicht über die erforderlichen Berechtigungen, um diese Aktion auszuführen".

Wenn ich den Benutzer nun der Gruppe "System default admin group" zuordne, funktioniert alles! Aber das sollte ich ja tunlichst vermeiden?

 

[ottosykora]

also Webdav App, das ist eigentlich keine App sondern nur ein Fenster mit Einstellungen für den Webdav Server. Einstellungen für Server kann natürlich nur ein Administrator machen, andere Benutzer haben hier nichts zu suchen. Darum die Meldung. Ein normaler Benutzer braucht es ja auch gar nicht.

 

[antineutrino]

Vielen Dank! Mir ist nun klar, dass das unter DSM sichtbare WebDAV-Menü nur den Adminkonten zur Konfiguration dient.

Ich darf nochmal mein Vorgehen zusammenfassen: ich möchte ich nur meine Passwort-Verwaltungssoftware (Safe in Cloud) innerhalb meines LANs per WebDAV synchronisieren.
Dazu habe ich einen Benutzer angelegt mit WebDAV-Rechten und Zugriffsrecht auf den gemeinsamen Ordner "SafeInCloud_Datenbank". Wenn ich nun den WebDAV-Zugriff bei SafeInCloud einrichte, ist mir ein Zugriff über meine Zugangsdaten mit dem Adminkonto problemlos möglich. Nutze ich nun aber den Benutzer, wird mir angezeigt, dass ich falsche Zugangsdaten verwendet hätte. Dieses Problem habe ich bereits mehrfach in verschiedenen Foren gefunden, allerdings nie mit einem Lösungsansatz (https://www.synology-forum.de/archive/index.html/t-95918.html, https://www.synology-forum.de/showt...te-für-WebDav&highlight=webdav+admin+benutzer )

Auch ein Ordner innerhalb des Benutzerverzeichnis "home/SafeinCloud..." brachte keine Besserung. Ich möchte vorerst WebDAV nicht außerhalb des LANs nutzen, also brauche ich kein HTTPS (keine Zertifikate o.ä.) oder NetDrive o.ä.

Hat jemand noch eine Idee was ich testen kann? Bin für jeden Hinweis dankbar.

 

[ottosykora]

was passiert wenn du in CMD etwas folgendes eingibst:



net use y: http://192.168.x.x:5005 /user:[benutzername] [password]

(vorausgesetzt y: wird nicht verwendet)

 

[antineutrino]

Erhalte dann folgende Meldung :
Systemfehler 67 aufgetreten. Der Netzwerkname wurde nicht gefunden

 

[ottosykora]

gut, dann gib statt der IP den Namen der DS ein.

Und dann probiere das gleiche mit https und 5006

habe es gerade bei mir lokal versucht, ging mit der IP auch nicht, mit dem Namen jeodch schon.
Auch mit einem eingeschränkten User.

 

[antineutrino]

erzeugt leider den gleichen Fehler. Habe die Form wie folgt verwendet:
net use y: http://NAS_NAME:5005 /user:Benutzer Passwort

Habe testweise versucht die DSM-Benutzeroberfläche im Browser zu öffnen mit Name statt IP: NAS_NAME:5000. Geht auch nicht!

 

[ottosykora]

hmm, dann hast du wohl eingestellt dass alles http zu https geleitet werden soll.

probiere das gleiche mit https und Port 5006

 

[antineutrino]

Im Format:
net use y: https://NAS_NAME:5006 /user:Benutzer Passwort ---- Wieder Fehler 67

Im Format
net use y: https://192.168.XXX.XX:5006 /user:Benutzer Passwort
Systemfehler 1244. Der Vorgang konnte nicht ausgeführt werden, da der Benutzer nicht authentifiziert wurde.

Das heißt per IP funktioniert es, ich bräuchte nur noch die Zertifikate, oder?

 

[ottosykora]

Zertifikat ist ja schon in der DS drin von Anfang an, das geht damit ganz normal.
In der DS wo ich es probiere ist nur der selfsigned von Synology drin. An dem liegt es nicht.
Eher fehlt noch eine Berechtigung irgendwo.
Ich habe die DS gerade nicht vor mir, kann in den nächsten Tagen schauen.

 

[antineutrino]

Falls später mal jemand noch ein ähnliches Problem hat:
Ich habe es nicht hinbekommen und synchronisieren nun über HTTP und dem Admin-Konto im lokalen LAN. Zugriff von außen dann über VPN.
Vielen Dank für alle, die mir versucht hätten zu helfen!