DSM 6.x und darunter Anmeldung im Browser NUR für bestimmte Benutzer realisierbar?

[frozendog]

ZUR ZEIT:
Habe einen Benutzer names "Audio" angelegt. Zugriffsrechte hat der User nur für die AudioStation. Der User kann sich nun auch via App einloggen und Musik hören.
Zugriff darf im Heimnetzwerk und via Internet erfolgen. So weit so gut. Geht alles. Wunderbar.

FRAGE:
Der User soll sich aber nicht via Browser in die DSM-Oberfläche einloggen dürfen. Er soll einfach nur Musik hören dürfen (über die App).

--> Möglich?

 

[generalfox]

Hallo Frozendog,

Entferne diesen Haken beim Benutzer und schon sollte das nicht mehr möglich sein.

In wie weit dies die App einschränkt kann ich dir leider nicht sagen da ich dies nicht nutze.

gruß Fox

 

[frozendog]

Wow, das wa ne schnelle Antwort.
Leider geht es NICHT.

Der AudioUser kann sich trotzdem via Browser einloggen.
Hier die Screenshots:




Und so siehts aus, nachdem sich UserAudio eingeloggt hat (was er aber nicht tun dürfte, sich einloggen):

 

[generalfox]

Ich habe das Szenario mal auf meine Backup Syno nach gestellt und kann deine Erkenntnis reproduzieren.
Tut mir leid das ich dir wohl doch nicht helfen konnte.

Hoffe einer der Syno-Götter hier kann dir schnell nen Tipp geben, das Topic interessiert mich dann auch, bleibe mit am Ball.


Gruß Fox

 

[Puppetmaster]

Geht eigentlich nicht, dass man den DSM nur für bestimmte User sperrt. :-/

 

[frozendog]

"Eigentlich nicht" oder "nicht" ?
Gibts Umwege über Kommandozeile oder wie?

Wenn es nicht gehen sollte: Irgendwie blöd. Und irgendwie schon ein Sicherheitsrisiko.
--> Jeder meiner Benutzer (und man stelle sich ein Firmennetzwerk vor, wo man für manche PCs/User nur Netzwerkfreigaben erstellt) kann sich also via Browser trotzdem einloggen! Hui......

 

[Puppetmaster]

Also, wenn du die AudioStation nutzt, oder die PhotoStation, dann sind wir von einer "Firmen-Server-Lösung" doch schon ein ganz schönes Stück weit weg.

In einer Firma bekommst du eine Netzwerkfreigabe und basta, da gibts kein Webfrontend für den normalen User. So kannst du es bei deiner DS ja auch halten.

Wenn du meinst, AudioStation und dergleichen anzubieten, dann musst du halt Klimmzüge machen. Du kannst ja auch die AudioStation auf einen eigenen Port legen und so den Zugriff (von aussen) auf den DSM unterdrücken, indem du den Port gar nicht erst freigibst.

Und was genau ist das Sicherheitsrisiko, wenn ein User neben der AudioStation auch auf den DSM kommt?

 

[frozendog]

Ja, du hast schon recht. Aber man möchte natürlich immer eine "eierlegende Wollmilchsau" haben *lach*.
Man öffnet damit ein zusätzliches Tor für Sicherheitslücken usw, wenn UserXY sich auch auf die Oberfläche einloggen können. Das soll nicht heißen, dass es momentan ein Risiko ist. Kann aber heißen, dass es mal eines sein könnte....

Dachte nur es geht vielleicht irgendwie.
Vielleicht gibts ja irgendwann mal ein zusätzliches Häkchen bei der Benutzerverwaltung welches genau das macht: "Login via Oberfläche möglich".

Danke.

 

[Puppetmaster]

Das Häkchen gibt es (noch) nicht, nein. Und wenn du den DSM für einen User für ein Sicherheitsproblem hälst, dann ist es die AudioStation aber sicher auch.

 

[Brathorst]

Wenn du deinem Benutzer eh nur die Audi-Station benutzen lässt und er z.B. keinen Zugriff auf die Filestation hat, dann kann er doch im DSM nicht viel anrichten...
Altenrativ könnte ich dir noch mein Setup empfehlen:
ich hab aus dem Grund die Ports des DSM (http und https) nicht nach außen geöffnet. Wenn ich doch mal von außen drauf muss dann mach ich das über VPN. Aber normalerweise reicht es ja wenn die externen Benutzer nur einzelne Dienste (z.B. Photostation, Filestation oder Audiostation) benutzen und im seltensten Fall ist wirklich DSM von außen notwendig... (und über VPN is es soweit ich weiß noch ein Ticken "sicherer" )

Aber nur als kleiner Tip