2-Stufen Authentifizierung bei Usern nicht möglich

[Reismann]

Schönen Guten Morgen,

ich hoffe hier kann mir jemand helfen mein Problem zu lösen.

Ich habe eine DS918+ mit diversen Benutzern. Admin Konto ist deaktiviert.
Vor dieser DS hatte ich eine 412+ von welcher ich alle Einstellungen etc auf die neue DS migriert habe. Das hat auch alles anstandslos funktioniert.

Ich habe in meinem Konto Admin-Berechtigungen, den Benachrichtigungsdienst und auch die 2-Stufen Authentifizierung aktiviert.
Wenn ich einen neuen Benutzer erstelle und mich mit diesem Benutzer in das DSM einlogge um die 2-Stufen Authentifizierung zu aktivieren, bekomme ich die Meldung das ich den E-Mail-Benachrichtigungsdienst aktivieren soll.


Der Benutzer bekommt eine Willkommensnachricht geschickt. Warum will das DSM das ich den Dienst aktiviere, obwohl er doch aktiviert ist. Es kann doch nicht normal sein, dass ich den Dienst bei jedem User zusätzlich noch aktivieren und meine Email Daten in seinem Account eintragen muss. Das war bei meiner 412+ auch nie der Fall.

Ich vermute, hier hat sich ein Fehler bei mir eingeschlichen. Vermutlich beim migrieren der Daten.
Hatte vielleicht schon jemand einen solchen Fall oder hat jemand eine Idee, wie ich das Problem beheben kann? Bin für jede Hilfe dankbar.

Viele Grüße,
Reismann

 

[ottosykora]

ich denke die Logik dahinter ist dass nicht jeder User braucht eine 2-Stufen Auth vielleicht. Und dann muss man es für jeden User einstellen, weil man ja auch den Mailversand an ihn irgednwie freischalten muss.

 

[Puppetmaster]

Ich halte die Logik dahinter, ersichtlich aus dem Hinweis auf die fehlenden Mailinfos, für sinnvoll.

Sollte ein Zugang per 2 Factor Auth nicht mögich sein, kann ein Notfallcode versandt werden. Wohin soll der gehen, wenn keine Mailadresse hinterlegt oder gar der Benachrichtigungsdienst nicht aktiv ist?

 

[Reismann]

Der Mailversand ist ja bereits im Administratorkonto eingerichtet. Das ganze hat ja auch so anstandslos bis zum Wechsel der DS funktioniert.

Der User kann sich die 2 Stufen Auth selbst so nicht aktivieren, da er ja die Daten für den genutzten Email Service nicht kennt und folglich selbst nicht eintragen kann. Es geht hier ja nicht um seine eigene Emailadresse, sondern die von der DS genutzte Absenderadresse.

Um das ganze für den User zu aktivieren müsste er sich mit seinen Daten einloggen und anschließend müsste ich in seinem Account meine Daten des Mailservers eintragen. Das ist doch mit Sicherheit nicht so gedacht.

 

[Puppetmaster]

Der Mailversand ist ja bereits im Administratorkonto eingerichtet.

Aber doch nicht die Mail an den betreffenden User. Hier ist doch eine Mailadresse im Benutzerkonto vonnöten.

Das ganze hat ja auch so anstandslos bis zum Wechsel der DS funktioniert.

Und diese Funktionalität hattest du auch auf dem jetztigen Softwarestand noch genutzt auf der alten DS, ohne dass es zu dieser Meldung kam?

Es geht hier ja nicht um seine eigene Emailadresse, sondern die von der DS genutzte Absenderadresse.

Meines Erachtens schon, denn ohne Mailadresse des Users kann ja auch keine Notfallmail gesendet werden.

Aber vielleicht ist das ja auch ein Fehler, der sich bei der Migration eingeschlichen hat. Ausschließen kann man das sicher nicht.
Hast du den für den Benutzer hier eine Mailadresse angegeben?

 

[Reismann]

Wie eingangs schon erwähnt, bekommt der neue Nutzer eine Willkommensnachricht an seine Mail-Adresse geschickt. Diese ist in seinem Account hinterlegt. Es geht hier um das versenden der Nachrichten vom System. Bei der Willkommensnachricht funktioniert es. Beim aktivieren der 2FA will das System die Absenderadresse erst einrichten. Meiner Meinung nach ist dies auf jeden Fall ein Bug. Mangels einer weiteren DS kann ich nicht testen ob das ein genereller Bug ist oder durch das migrieren entstanden ist.

GIbt es eine Möglichkeit solche Dinge ohne komplettes zurücksetzen des Sytems zu beheben?

 

[ottosykora]

also ich sehe es immer noch nicht als Bug.
Es muss doch mitgeteilt werden auf welchem Weg sollen die Mails an den User gesendet werden. Das muss durchaus nicht für alle User gleich sein. Es User und Gruppen und so weiter, und es kann sein, dass einige User eine Mail von dem Konto A nicht bekommen würden aber wenn mit Konto B gesendet schon. Es muss nicht alles über den gleichen Mailserver gehen. Und hier handelt es sich auch um spezielle Benachrichtigungen welche vielleicht nicht den Weg nehmen sollen wie andere.
Ich sehe es als Feature , nicht als Bug.

 

[Reismann]

Naja, ein einfacher 0815 User, der einfach nur Dienste der DS nutzen will, würde wohl nicht wirklich wissen, was er da einrichten muss. Ich als Admin der DS hab da keine Probleme mit. Ich kann mir einfach nicht vorstellen, dass dies so gewollt ist. Immerhin bekommt der User ja auch die Willkomensnachricht mit seinen Daten zum Anmelden vom System definierten Mailserver. Warum soll er also die 2FA Benachrichtigungen auf einmal nicht mehr von diesem bekommen?

Ich lege ja auch nicht bei anderen Diensten wie Dropbox etc. einen eigenen Mailserver fest. Das ist ja auch im System hinterlegt.

Für meine User werde ich es jetzt händisch bei jedem einzelnen eintragen. Vielleicht liest ja hier noch jemadn mit, der eine elegantere Lösung für mich hat. Wäre für die Zukunft echt hilfreich.

 

[Matthieu]

Du kannst den Benachrichtigungsdienst für das gesamte System festlegen (Systemsteuerung > Benachrichtigung). Wenn du es dort machst, sollte die Fehlermeldung je User IMHO nicht kommen.
Abgesehen davon, sehe ich eine zwingende Mail-Eingabe bei Aktivierung von 2FA auch als sehr sinnvoll an, weil schon ein falscher Zeitstempel im NAS alle User komplett aussperren würde.

MfG Matthieu

 

[Reismann]

Genau so war ich es vor dem Wechsel auch gewohnt. Unter Systemsteuerung > Benachrichtigung ist der Benachrichtigungsdienst bereits eingerichtet. Aber die Meldung kommt trotzdem bei jedem User (auch bei neu angelegten Usern)

Sehr komisch das ganze....

 

[zits1]

Ich muss Reismann zustimmen. Und noch etwas Merkwürdiges: Ich habe zwei Diskstations, eine DS413j und eine DS416j, beide mit "DSM 6.2-23739 Update 2". Auf der DS416j kann ein neu angelegter User die 2-Stufen-Verifizierung ohne eigenes Email-Konto (Nicht Email-Adresse des User; die muss natürlich eingetragen sein.) einrichten, auf der DS413j verlangt das System beim User die Einrichtung eines eigenen Email-Kontos. Das ist mysteriös.

 

[Silvaner]

Hallo,

ich kann das Problem bestätigen und vermute es ist eine Einstellungssache, beim Anlegen neuer Nutzer. Ich habe die Einstellug nur noch nicht gefunden. Eigentlich gibt es da auch nicht so viele. :-(

Ich habe heute einen neuen Nutzer angelegt. Zum Aktivieren der "2-Stufen Verifizierung" verlangt das System, das Einrichten des E-Mail Benachrichtigungsdienstes mit SMTP-Daten.

Nun habe ich bei einen bestehenden USER, welcher bereits 2-Stufen Verifizierung besitzt noch mal auf die Schaltfläche "2-Stufen Verifizierung" geklickt. Hier wird nur nochmal eine Bestätigung für die E-Mail an die Verifizierungscodes gesendet werden sollen gefragt. Die EMail kann geändert werden. An dieser Stelle habe ich abgebrochen, weil ich die 2 Stufen Verifizierung so belassen wollte.

Ich habe mich nun nochmal in Namen eines anderen lange bestehenden Benutzers, welcher die 2-Stufen Verifizierung nicht benutzt angemeldet. Hier wird wieder behauptet der E-Mail-Benachrichtigungsdienst sei nicht aktiviert und es werden wieder SMTP-Daten verlangt.

Auf meiner Diskstation 415+ ist vom Administrator unter Systemsteuerung->Benachrichtigungen-E-Mail, der E-Mail Benachrichtigungsdienst aktiviert.

Ich halte meine Diskstation aktuell. Es ist heute die Version: DSM 6.2.1-23824 Update 4

 

[Kurt-oe1kyw]

Die Meldung besagt doch nur, dass für den (neuen) User sein Emailbenachrichtigungsdienst nicht aktiviert ist. Klick auf "OK", danach auf Costumize, Felder ausfüllen für den neuen User und gut ist. Danach erhält der neue User auf seine Emailadresse im Notfall den Ersatzcode falls die Generierung über die APP ausfällt. Übrigens, aktuell ist Update 6 und nicht Update 4.

 

[mrFbn]

Hallo,
bei mir das selbe Verhalten: Zwei NAS, auf beiden als Admin in den Systemeinstellungen bei Benachrichtigungen einen SMTP-Server eingetragen. Mailversand funktioniert (Testmail, Willkommensnachricht etc.).
Auf NAS1 meldet sich ein Benutzer an und aktiviert die 2-Faktor-Auth, zentraler Mailserver wird verwendet (korrekt).
Auf NAS2 meldet sich ein Benutzer an und muss SMTP-Servereinstellungen hinterlegen (die er nicht kennt).
Gibt es bei Euch schon etwas neues dazu?

 

[mrFbn]

Ich habe vermutlich die Ursache gefunden:
Ist ein User in der Admin-Gruppe wird der zentrale SMTP-Server verwendet (d.h. es muss bei der 2FA nicht nochmal ein Mailserver angegeben werden).
Ist der User *nicht* in der Admin-Gruppe muss er einen neuen SMTP-Server angeben.
Also genau anders herum als es sinnvoll wäre ...

 

[doemer83]

Tach die Damen und Herren

Der Thread ist ja schon älter. Aber da ich selber auch erst gerade dasselbe Issue hatte und hier gelandet bin, möchte ich gerne teilen, wie ich das Problem letztlich lösen konnte.

Ich habe kürzlich meine DS1010+ auf die DSM6.2.4 angehoben. Danach hatte ich exakt dieses komische Verhalten beim aktivieren des zweiten Faktor für einen User Account.

Abhilfe schafft in diesem Falle das "Durchsetzen" der 2-Stufen Verifizierung für alle Benutzer. (Systemsteuerung -> Benutzer -> Erweitert -> 2-Stufen Verifizierung).

Danach einfach mit dem gewünschten Benutzer einloggen und schon kommt beim Login direkt der Wizard, wo nun kein Mailkonto hinterlegt werden muss damit der zweite Faktor aktiviert werden kann.

Gruess

Doemer