DSM 6.x und darunter User-Anmeldung (ohne Admin!) per PuTTY/SSH geht nicht mehr seit DSM 6.2.2-24922...

Alle DSM Version von DSM 6.x und älter

_Joachim_

Benutzer
Mitglied seit
05. Jun 2016
Beiträge
62
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich habe eine Frage an die Experten:
Seit Update auf DSM 6.2.2-24922 können sich normale User (OHNE Mitglied in der Admin-Gruppe zu sein) nicht mehr per PuTTY/PLink an der DS anmelden. (Der gleiche User als Mitglied der Admin-Gruppe kann sich anmelden.)

Kennt jemand den Grund dafür bzw. die Stelle, an der das zu ändern ist?

Hintergrund:
Ich hatte zum Zweck des DS-Shutdown einen 'Shutdown'-User angelegt, der ohne Mitglied der Admin-Gruppe zu sein, per PLink-Script (SSH, rsa-key) die DS herunter fahren konnte. Dies hat seit Monaten funktioniert; scheitert seit dem Update aber daran, dass sich der Shutdown-User nicht einmal per PuTTY-Session anmelden kann ("Permission denied") – solange er nicht Mitglied der Admin-Gruppe ist.
Da die Anmeldung per PuTTY funktioniert sobald der User Mitglied der "System default admin group" ist, ist davon auszugehen, dass alle Rahmenbedingungen korrekt sind (passwd, Key, sudoers.d usw.); eine Anmeldung per GUI funktioniert in allen Fällen.

Besten Dank.
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
624
Punkte
174
Kennt jemand den Grund dafür bzw. die Stelle, an der das zu ändern ist?

Direkt kann ich Dir da nicht weiterhelfen ...

Aber ich habe das bei mir wie folgt gelöst:
IlektfP.png

Jedes Gerät darf in einem bestimmten Verzeichnis seine 'Funktions'-Datei reinschreiben.
Diese wird mit einem führenden '_' (Unterstrich) angelegt. Mache ich per Aufgabenplaner auf jedem Gerät.
Im gleichen Task gucke ich auch nach, ob die gerätespezifische Datei ohne '_' existiert.
Wenn also aus '_DS116.reboot' eine 'DS116.reboot' wird, dann legt die DS116 die zugehörige Datei wieder mit Unterstrich ('_DS116.reboot') an, löscht die 'DS116.reboot' und führt den Reboot durch.

Das hat den Vorteil, dass ich dies auch Remote bequem durch DS-FILE erledigen kann. Einfach den Unterstrich dort entfernen durch umbenennen und gut ist das.
 

_Joachim_

Benutzer
Mitglied seit
05. Jun 2016
Beiträge
62
Punkte für Reaktionen
0
Punkte
0
Gute und flexible Idee - aber ich muss noch mal drüber nachdenken.

Denn ich wüsste im Moment nicht, woran ich die Ausführung meines DS.shutdown festmachen könnte.
Zur Erklärung: meine DS wird automatisch von einem Backup-Script (Windows / Macrium Reflect) gestartet (WoL), danach werden Backups durchgeführt und - in Abhängigkeit einer Bedingung - die DS ebenso automatisch, vom 'Shutdown'-User per PLink, wieder herunter gefahren.

Um Deine Idee zu nutzen, könnte ein Script die "_DS.shutdown" beim Hochfahren anlegen. Dann aber müsste mein Backup-Script nach Ausführung der Backups auf der DS die "_DS.shutdown" in "DS.shutdown" umbenennen - aber dazu brauche ich einen Login auf der DS. Und wie es aussieht, da das Ganze per PuTTY/PLink geschehen müsste, wieder Einen mit Admin-Rechten. Dann jedoch kann ich meinem 'Shutdown'-User auch gleich die Admin-Rechte geben und alles funktioniert wie bisher.

Anderenfalls bräuchte ich etwas auf der DS, was sicher erkennt, dass die Backups durchgelaufen sind... Zwar könnte man hier über eine 'zeitlange Nichtbenutzung der DS' als Kriterium zum Shutdown nachdenken, aber zeitliche Abhängigkeiten mag ich gar nicht.

Trotzdem danke für die Idee.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.675
Punkte für Reaktionen
1.574
Punkte
314
Ein Blick in die DSM-Hilfe verrät...

Zitat von hier : DSM-Hilfe

SSH/Telnet unterstützt nur die Anmeldung im System mit Konten der Gruppe local administrators...

Tommes
 

_Joachim_

Benutzer
Mitglied seit
05. Jun 2016
Beiträge
62
Punkte für Reaktionen
0
Punkte
0
Hallo Tommes,

danke für den Hinweis.

Allerdings könnte man einerseits den Absatz auch so verstehen, dass er sich die Erlangung von root-Rechten bezieht. Andererseits möchte ich nochmals betonen, dass die Anmeldung und Befehlsausführung meines 'Shutdown'-Users (ohne Mitglied der Admin-Gruppe zu sein) ja bisher immer funktioniert hat! Um dies zu erreichen bin ich im Wesenlichen dieser Anleitung gefolgt. Die Rechte des 'Shutdown'-Users sind in einer Datei im Verzeichnis /etc/sudoers.d/ festgelegt.
 
Zuletzt bearbeitet:

_Joachim_

Benutzer
Mitglied seit
05. Jun 2016
Beiträge
62
Punkte für Reaktionen
0
Punkte
0
Update 1: Ich bin nicht der Einzige, der seit DSM 6.2.2 dieses Problem hat.
Siehe: https://superuser.com/questions/1440142/synology-dsm-6-2-x-how-to-ssh-as-non-admin-user
https://serverfault.com/questions/968562/synology-dsm-unix-cannot-ssh-with-another-user
https://superuser.com/questions/1102689/how-to-connect-to-synology-disktation-as-a-normal-user-no-root-without-gui-us

Das erste Beispiel habe ich getestet, allerdings erfolglos.
Bei Gelegenheit werde ich mir die /etc/group aus dem 2. Link ansehen.
 

DS111-User

Benutzer
Mitglied seit
13. Feb 2011
Beiträge
285
Punkte für Reaktionen
14
Punkte
18
@_Joachim_ Konntest Du in der Zwischenzeit schon eine Lösung finden?
Ich würde auch gerne einem NICHT-Adminbenutzer den Zugriff via SSH ermöglichen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat