Toggle sidebar

2FA für Zugriff auf Drive über das Internet

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Yippie

Yippie

Benutzer
Registriert
01. Feb. 2011
Beiträge
716
Reaktionspunkte
73
Punkte
54
Hi!

Ich nutze Drive von extern, wenn ich unterwegs bin. Dazu läuft auf meiner Firewall einen Reverse-Proxy und die Anmeldung an Drive geschieht über die vorhandenen Active-Directory Benutzer, eingerichtet auf dem DS Directory Server.

Wäre es möglich, ausschließlich für den Zugriff auf Drive, von extern, 2FA einzurichten? Mit dem Microsoft Authenticator?

Wenn dies umsetzbar wäre, ist dann der interne Zugriff, bspw. mit dem Drive-Client auf dem Android Smartphone oder auf dem iPad ebenfalls nur mehr über 2FA möglich? Könnte man letzteres dann aber verhindern, da mMn nicht sinnvoll bzw. unproduktiv?

Michael
 
2FA lässt sich m.W. unter DSM nur benutzerbezogen einrichten. Weitere "Begrenzungsmöglichkeiten" gibt es m.W. nicht.
Man könnte das ggfs. nur über den Reverse Proxy direkt einrichten. Es gibt RPs mit 2FA Möglichkeit. Vielleicht gibt es da einen, der nur bei Zugriff durch nicht-lokale IPs einen 2FA vorschaltet. Ansonsten könnte man sich zwei verschiedene Proxies bauen, was aber wieder 2 unterschiedlichen FQDNs mit sich bringen würde. Was ist das für eine Firewall und was läuft da für ein RP?
 
  • Like
Reaktionen: Yippie
Die Firewall ist IPFire und dort läuft als Reverse-Proxy HAProxy.

Die Frage ist, selbst wenn HAProxy die 2F Authentifizierung beherrscht, dann müsste dies in Abhängigkeit des Ziel Dienstes passieren.

Grund, ich betreibe über den RP auch meinen CalDAV und CardDAV Server, die ebenfalls von extern erreichbar sind und da wäre eine pauschale 2FA kontraproduktiv.
 
Also, ich habe jetzt einfach Mal 2FA für meinen Domänenbenutzer eingerichtet.
Da ich ohnehin nur Drive nach extern hoste und sonst keine weiteren der Synology Dienste (alles andere läuft im Containet) habe ich nun tatsächlich 2FA, wie gewünscht, für Drive aktiv.

ABER: auch der Drive Client auf dem iPad will nun einen 6 stelligen Code, ebenso wie aufm Smartphone.
Gut, per se jetzt nicht das große Problem denn ich kann die beiden Geräte als vertrauenswürdig einstufen. Was dies in der Praxis nun bedeutet wird sich noch herausstellen, aber fürs erste siehts schon Mal nicht schlecht aus.
 
Yippie schrieb:
müsste dies in Abhängigkeit des Ziel Dienstes passieren.
Zum Vergrößern anklicken....
Ja. Bei der direkten Freigabe nach extern ist ja ohnehin ratsam, pro Anwendung eine Subdomain einzurichten und nicht den DSM-Port ins Netz zu hängen. So hat man pro Anwendung einen RP und kann dort 2FA eben an oder ausmachen
 
  • Like
Reaktionen: Yippie
Ja, so mache ich das, genau genommen hat jeder Dienst eine Subdomain mit SSL Termination. Haproxy machts möglich (y)
 

Additional post fields

Synology Driver Server Installation
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten