Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 20
  1. #1
    Anwender
    Registriert seit
    11.05.2016
    Beiträge
    21

    Standard Zugriff via Internet für bestimmte Benutzer sperren

    Hallo zusammen!

    Ich habe eine DS216+ mit DSM 6.0. Dazu einen User mit dem ich die Administration machen möchte und auch von überall zugreifen, daher den externen Zugriff via Internet aktiviert. Klappt auch super.
    Dann habe ich einen weiteren User, der nur via LAN auf Shares der DS zugreifen soll. Doch auch dieser User kann sich via Webfrontend über's Internet anmelden. Ich habe File Station usw. alles gesperrt, Anmeldung geht immer noch und der Benutzer sieht z.B. den Document Viewer. Über diesen kann er wieder zu seinen Freigaben browsen.
    Genau das soll nicht gehen. Der Benutzer soll gar nicht aus dem Internet zugreifen können und keine Anmeldung an der DS von extern möglich sein - sondern einfach nur Shares nutzen.

    Kann man das irgendwie konfigurieren?

    Danke vorab!
    UP


    PS: Ich habe natürlich schon gesucht und für mein Problem keine Lösung gefunden... es scheint wohl nur was für die PhotoStation zu geben, für die man extra User anlegen kann, die dann nur das eine können und sonst nix.

  2. #2
    Anwender Avatar von Puppetmaster
    Registriert seit
    03.02.2012
    Beiträge
    15.679

    Standard

    Du kannst das nicht auf einzelne Nutzer beschränken.

    Verstehe aber auch das Problem nicht so ganz, weshalb der User zwar von intern auf die Weboberflächen kommen darf, nicht aber von ausserhalb?!

    Du könntest allenfalls als workaround nur den Zugang per VPN gestatten, damit wäre der DSM von aussen so erst einmal nicht erreichbar.
    DS415+ DSM 6.2.1-23824 U1 | 2x2TB BTRFS RAID1 + 8TB EXT4 (Basis) WD Red 24/7
    DS214+ DSM 6.2.1-23824 U1 | 3TB WD Red (Basis) + 6TB Seagate Archive (Basis)
    Media Logitech Media-Server 7.7.2 | Squeezebox Classic | Squeezebox Transporter | VU+ Uno | Raspberry Pi - OpenELEC 6.0.1 Kodi v15
    USV APC Back-UPS RS550GI


    Reset einer DiskStation | Migration zwischen DiskStations | Festplattenzugriff mittels Knoppix-DVD

  3. #3
    Anwender
    Registriert seit
    11.05.2016
    Beiträge
    21

    Standard

    Zitat Zitat von Puppetmaster Beitrag anzeigen
    Du kannst das nicht auf einzelne Nutzer beschränken.

    Verstehe aber auch das Problem nicht so ganz, weshalb der User zwar von intern auf die Weboberflächen kommen darf, nicht aber von ausserhalb?!

    Du könntest allenfalls als workaround nur den Zugang per VPN gestatten, damit wäre der DSM von aussen so erst einmal nicht erreichbar.
    Er soll gar nicht auf das Webinterface kommen wenn das geht. Er soll nur via Windows-PC und LAN auf Shares kommen die auf der DS liegen.

    Es geht mir um die Security: nicht jeder Nutzer hat ein sicheres Windows Kennwort am Desktop der nur daheim verwendet wird. Solange der nur am lokalen Gerät ist, ist ein unsicheres Kennwort auch in Ordnung. Und wenn ich den Zugriff nicht einschränken kann wie gewünscht (nämlich externer Zugriff aus dem Internet nur für bestimmte User erlauben), dann habe ich nur zwei bzw. mit VPN drei Möglichkeiten:

    1. Den externen Zugriff deaktivieren - damit kann ich gar nix mehr remote machen
    2. Den lokalen Windows User dazu bringen, sich wegen der neuen tollen Diskstation sich jetzt ein komplexes Kennwort einfallen zu lassen - da freut Frau sich sicherlich drüber wenn sie das bei jedem Anmeldevorgang eingeben muss um wie bisher auch auf Fotos zugreifen zu können
    3. Zugriff nur noch via VPN - dann ist aber alles was nur http erlaubt (Firma, Hotspots usw.) auch wieder aussen vor, da kann ich fast gleich Lösung 1 umsetzen.

    Hoffe mein Problem ist jetzt verständlicher und es gibt vielleicht doch noch eine Lösung!

  4. #4
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    8.510

    Standard

    Was ist eigentlich Document Viewer? Der Syno Text Editor?
    Wenn du einen Benutzer hast und keine Anwendungen erlaubst, kann er ja auch im DSM GUI nur den Text Editor und seine Freigaben sehen.

    Dann könnte man noch probieren den DSM auf einen dem User unbekannten Port zu legen. Ob der Port nicht aber auch via Netzwerkannouncements doch bekannt wird, gute Frage. So eine Konstellation wollte ich noch nie umsetzen mit einem Syno-NAS.

    Edit: Und bitte keine Vollzitate, schon gar nicht bei direkten Antworten. Danke.
    Synology Tech Support | Feature request
    Site 0: DS1812+ 3GB 6.2.1-U4 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.2.1-U4 | 4*10TB Ironwolf (Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.2.1-U4 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | UPS Pro 900 | Net UMBW 400/40 | FB 6490 (IPv4/v6 Dual-Stack) | Unifi US-8/16 PoE
    Streaming NUC Plex (1.13.9 (hw)) | AFTV (Plex/Kodi 17.6) | Inverto Sat>IP IDL400s, TVMosaic tv server | Raumfeld (C2, M, One), CCA Multi-Room | KDL-55W905A

  5. #5
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    8.510

    Standard

    Ja, ist schon klarer.

    Was du unter 3 ansprichst verstehe ich nicht. Meinst du eine generelle Nicht-Nutzbarkeit von VPN extern? Weil wenn erstmal der VPN Tunnel steht ist es total egal welches Protokoll (http/https) du innerhalb des Tunnel nutzt.
    Synology Tech Support | Feature request
    Site 0: DS1812+ 3GB 6.2.1-U4 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.2.1-U4 | 4*10TB Ironwolf (Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.2.1-U4 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | UPS Pro 900 | Net UMBW 400/40 | FB 6490 (IPv4/v6 Dual-Stack) | Unifi US-8/16 PoE
    Streaming NUC Plex (1.13.9 (hw)) | AFTV (Plex/Kodi 17.6) | Inverto Sat>IP IDL400s, TVMosaic tv server | Raumfeld (C2, M, One), CCA Multi-Room | KDL-55W905A

  6. #6
    Anwender
    Registriert seit
    11.05.2016
    Beiträge
    21

    Standard

    Zitat Zitat von Fusion Beitrag anzeigen
    Was ist eigentlich Document Viewer? Der Syno Text Editor?im DSM GUI nur den Text Editor und seine Freigaben sehen.
    Das Ding heisst so... aber Freigaben sehen/zugreifen will ich trotzdem nicht. Siehe unten!

    Zitat Zitat von Fusion Beitrag anzeigen
    Dann könnte man noch probieren den DSM auf einen dem User unbekannten Port zu legen.
    Es geht nicht darum, dass der User nicht zugreift via Web, damit hätte ich keinen Stress. Es geht darum, dass ich damit im Web exponiert die Freigaben präsentiere und nur durch ein schwaches Kennwort schütze. Hat mich der "Sicherheitsberater" drauf aufmerksam gemacht - ich wusste gar nicht, dass man mit dem User auch rankommt, der hatte nur Berechtigung auf die Shares und nicht für externen Zugriff. Zum schwachen Kennwort habe ich ja oben was geschrieben.

    Zitat Zitat von Fusion Beitrag anzeigen
    Was du unter 3 ansprichst verstehe ich nicht. Meinst du eine generelle Nicht-Nutzbarkeit von VPN extern?
    Viele Firmen (auch meine) und Hotspots verbieten die Nutzung von VPN bzw. lassen einfach nur http zu. Daher wäre das schon eine Einschränkung.

    Hab's grade mit nem Kollegen davon gehabt (auch IT Branche wie ich), dass man auf App und Share Ebene so granular ACLs vergeben kann ist lobenswert aber dass man den externen Webzugriff nicht managen kann ist schon etwas schwach wenn ich mir anschaue was das Ding sonst alles kann...

    Eine Lösung wäre für die Shares einen eigenen User anzulegen (also nicht der, der sich in Windows anmeldet) und ein komplexes Kennwort vergeben. Die Shares dann permanent verbinden mit den entsprechenden (komplexen) Credentials und Frau ist glücklich. Nicht perfekt, aber besser als so.

    Hoffe das mit Zitaten ist nur besser, sorry

  7. #7
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    8.510

    Standard

    Ja, danke. Ich kann dir schon folgen, ist halt nicht die Zielsetzung von Synology.
    Wenn es möglich ist, stelle ein Feature Request bei Synology, je mehr das machen desto eher wird mal was geändert, zumal die bessere Separierung zwischen internem/externem Zugriff ja schon mal ein Gerücht für den DSM 6 war, vielleicht bekommen wir es dann mit DSM 6.x wenn ein paar mehr Leute anklingeln.

    Und Hotspots die VPN verbieten oder gar nur plain-text http erlauben sind ja mal total sinnbefreit. Die würde ich schon grundsätzlich nicht nutzen, da ja alles mit Authentifizierung flach fällt, wenn die Passwörter im Klartext über die Leitung gehen.
    Genauso wenn die Firma nur http zulässt, finde ich fast schon fahrlässig (z.B. Kontos bei Lieferanten etc.), wenn das nicht über einen ganz anderen Weg abgehandelt wird.
    Synology Tech Support | Feature request
    Site 0: DS1812+ 3GB 6.2.1-U4 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.2.1-U4 | 4*10TB Ironwolf (Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.2.1-U4 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | UPS Pro 900 | Net UMBW 400/40 | FB 6490 (IPv4/v6 Dual-Stack) | Unifi US-8/16 PoE
    Streaming NUC Plex (1.13.9 (hw)) | AFTV (Plex/Kodi 17.6) | Inverto Sat>IP IDL400s, TVMosaic tv server | Raumfeld (C2, M, One), CCA Multi-Room | KDL-55W905A

  8. #8
    Anwender Avatar von rednag
    Registriert seit
    08.11.2013
    Beiträge
    3.816

    Standard

    Alternativ kannst Du die User auch zu sicheren Passwörtern "zwingen".
    pw.jpg
    DS415+ (6.2-23739 Update 2)
    DS213 (6.2-23739 Update 2)
    TS-253B (4.3.4.0695)
    Vero 4K (OSMC)
    Fritz!Box 7490

    Homepage

  9. #9
    Anwender
    Registriert seit
    11.05.2016
    Beiträge
    21

    Standard

    Ich habs jetzt so gelöst dass ich die Shares in Windows mit anderem User verbinde und der User dann ein komplexes Passwort bekommt. Es ging ja genau darum einen User daheim nicht zu einem komplexen Passwort zu seiner Windows Anmeldung zu zwingen da unnötig in dem Szenario (bzw. nur nötig mangels fehlender Möglichkeit, die Berechtigung für intern/extern Zugriff abzubilden).
    Generell wundere ich mich, dass einige Apps in "Berechtigungen" auftauchen, andere jedoch nicht. So richtig rund ist das irgendwie nicht hab ich das Gefühl.

    Wie kann ich denn einen Feature Request stellen?

    Das mit http und https wurde wohl falsch verstanden, mit nur "http" meinte ich das Protokoll an sich, ob jetzt mit oder ohne s. Aber darum geht's nicht, VPN ist geblockt (und wegen Split Tunnel und damit Drittnetzbindung auch sinnvoll, aber das ist ja nicht Thema hier).

  10. #10
    Anwender Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    17.335

    Standard

    Zitat Zitat von Unipac Beitrag anzeigen
    ...Generell wundere ich mich, dass einige Apps in "Berechtigungen" auftauchen, andere jedoch nicht. .
    Es tauchen dort diejenigen Apps auf, die als Systemanwendung laufen, wie zB. die File Station, Audio und Video Station usw. - alle Apps, die auf dem User-Webserver aufsetzen wie bspw. die Photo Station, tauchen nicht auf.
    DS713+ | 2x 1TB Crucial M500 SSD # 4GB RAM # be quiet! Shadow Wings | DSM 6.1.7-15284-U3
    DS212+ | Backup-DS: 2x 4TB HGST Deskstar NAS | DSM 6.1.7-15284-U3
    Extras: fail2ban 0.11.0 - Java 1.8.0.202 - Nextcloud 15.0.4 - Roundcube 1.3.8 - HumHub 1.3.8 - tt-rss 17.4
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Photostation für bestimmte User sperren
    Von erzwodezwo im Forum Photo Station und Blog
    Antworten: 6
    Letzter Beitrag: 27.04.2016, 13:35
  2. Benutzer über Internet sperren, im lokalen Netz erlaubt
    Von futuretom im Forum Installation und Konfiguration allgemein
    Antworten: 1
    Letzter Beitrag: 06.03.2015, 00:10
  3. Cloud Station / Bestimmte Rechte für bestimmte Benutzer
    Von kleincrossi im Forum Cloud Station
    Antworten: 14
    Letzter Beitrag: 15.05.2014, 10:32
  4. sabnzb für Benutzer sperren
    Von paolee im Forum Andere 3rd Party Anwendungen
    Antworten: 1
    Letzter Beitrag: 23.08.2011, 08:42
  5. Benutzer Zugriff auf Mailstation sperren
    Von vore im Forum Mail Station
    Antworten: 7
    Letzter Beitrag: 18.04.2011, 20:29

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •