2FA für Zugriff auf Drive über das Internet

Yippie · 22. Mrz 2024

Hi!

Ich nutze Drive von extern, wenn ich unterwegs bin. Dazu läuft auf meiner Firewall einen Reverse-Proxy und die Anmeldung an Drive geschieht über die vorhandenen Active-Directory Benutzer, eingerichtet auf dem DS Directory Server.

Wäre es möglich, ausschließlich für den Zugriff auf Drive, von extern, 2FA einzurichten? Mit dem Microsoft Authenticator?

Wenn dies umsetzbar wäre, ist dann der interne Zugriff, bspw. mit dem Drive-Client auf dem Android Smartphone oder auf dem iPad ebenfalls nur mehr über 2FA möglich? Könnte man letzteres dann aber verhindern, da mMn nicht sinnvoll bzw. unproduktiv?

Michael

Anzeige · 22. Mrz 2024

Hallo Yippie,

Bücher und Hardware zum Thema gibt es bei Amazon: 2FA für Zugriff auf Drive über das Internet

plang.pl · 22. Mrz 2024

2FA lässt sich m.W. unter DSM nur benutzerbezogen einrichten. Weitere "Begrenzungsmöglichkeiten" gibt es m.W. nicht.
Man könnte das ggfs. nur über den Reverse Proxy direkt einrichten. Es gibt RPs mit 2FA Möglichkeit. Vielleicht gibt es da einen, der nur bei Zugriff durch nicht-lokale IPs einen 2FA vorschaltet. Ansonsten könnte man sich zwei verschiedene Proxies bauen, was aber wieder 2 unterschiedlichen FQDNs mit sich bringen würde. Was ist das für eine Firewall und was läuft da für ein RP?

Yippie · 22. Mrz 2024

Die Firewall ist IPFire und dort läuft als Reverse-Proxy HAProxy.

Die Frage ist, selbst wenn HAProxy die 2F Authentifizierung beherrscht, dann müsste dies in Abhängigkeit des Ziel Dienstes passieren.

Grund, ich betreibe über den RP auch meinen CalDAV und CardDAV Server, die ebenfalls von extern erreichbar sind und da wäre eine pauschale 2FA kontraproduktiv.

Yippie · 22. Mrz 2024

Also, ich habe jetzt einfach Mal 2FA für meinen Domänenbenutzer eingerichtet.
Da ich ohnehin nur Drive nach extern hoste und sonst keine weiteren der Synology Dienste (alles andere läuft im Containet) habe ich nun tatsächlich 2FA, wie gewünscht, für Drive aktiv.

ABER: auch der Drive Client auf dem iPad will nun einen 6 stelligen Code, ebenso wie aufm Smartphone.
Gut, per se jetzt nicht das große Problem denn ich kann die beiden Geräte als vertrauenswürdig einstufen. Was dies in der Praxis nun bedeutet wird sich noch herausstellen, aber fürs erste siehts schon Mal nicht schlecht aus.

plang.pl · 22. Mrz 2024

Yippie schrieb:
müsste dies in Abhängigkeit des Ziel Dienstes passieren.

Ja. Bei der direkten Freigabe nach extern ist ja ohnehin ratsam, pro Anwendung eine Subdomain einzurichten und nicht den DSM-Port ins Netz zu hängen. So hat man pro Anwendung einen RP und kann dort 2FA eben an oder ausmachen

Yippie · 22. Mrz 2024

Ja, so mache ich das, genau genommen hat jeder Dienst eine Subdomain mit SSL Termination. Haproxy machts möglich

Suche

2FA für Zugriff auf Drive über das Internet

Yippie

Benutzer

Anzeige

plang.pl

Benutzer

Yippie

Benutzer

Yippie

Benutzer

plang.pl

Benutzer

Yippie

Benutzer

Kaffeautomat