DSM 7.2 2FA kann nicht neu eingerichtet werden

[pcpanik]

Hallo zusammen,

ich habe hier ein kurioses Phänomen. Vielleicht kennt das ja jemand und weiß um eine Lösung.

Ich habe ein System mit Drive eingerichtet, an dem sich Personen per LDAPS Konto und 2FA (OTP) anmelden können.
Das klappte bisher einwandfrei.

Jetzt habe ich aber inzwischen 2 Nutzer (1x iPhone, 1x Android), bei denen sich 2FA nach einem Smartphone-Wechsel und Rücksetzen der 2FA Anmeldung nicht mehr neu einrichten lässt.
Der nach dem Scannen des QR-Codes angezeigte Code aus der Authentifizierungs-App funktioniert nicht.

Die Fehlermeldung lautet vereinfacht: Bitte prüfen sie, dass Mobilgerät und DSM die gleiche Zeit haben.

Oder ausführlich: Code-Authentifizierung fehlgeschlagen. Sellen Sie sicher, dass der eingegebene Verifizierungscode korrekt ist oder versuchen Sie, die Systemzeit des Mobilgerätes und von DSM zu synchronisieren.

Das ist aber der Fall. Die Syno bekommt die Zeit per NTP von einer zuverlässigen Quelle und wenn man mit den Smartphones vergleicht, passen die Zeiten der mobilen Endgeräte und der Syno auf die Sekunde genau überein.

Ich habe es dann auch mal mit meinem eigenen Smartphone versucht. Das Konto wird korrekt erkannt, aber der OTP Code klappt ebenfalls nicht.

Ist schon mal jemand über so etwas gestolpert?

P.S.: ich habe zudem veruscht Google Authenticator und DUO mobile zu verwenden, die erkennen den QR Code nicht, ist das korrekt?

 

[maxblank]

Bei diesen Benutzern 2FA mal deaktiviert?
Nach Deaktivierung wieder aktivieren und erneut einrichten.

Sollte das nicht klappen, betroffene Benutzer in DSM komplett entfernen und mit denen die erneute Einrichtung durchführen.

Google Authenticator sollte den QR Code meiner Meinung nach verarbeiten können.

 

[pcpanik]

Hi und Danke für Deine Antwort.

Bei diesen Benutzern 2FA mal deaktiviert?

Damit die Benutzer 2FA neu einrichten können, musste ich 2FA für sie selbstredend zunächst deaktivieren. Das hat nicht gehoflen.

, betroffene Benutzer in DSM komplett entfernen

Die Benutzer sind nicht in DSM lokal eingerichtet, sondern werden per LDAPS Abfrage aus einer Domäne bereichtigt. Aus DSM entfernen geht daher nicht.

Google Authenticator sollte den QR Code ... verarbeiten können

Ich bin auch der Ansicht, dass es mit Google und Duo klappen sollte, habe das bereits selber mit Duo so eingerichtet, aber es klappt eben nicht mehr bei diesen Nutzern.

 

[maxblank]

Das sich die Benutzer per gesicherter LDAP-Verbindung gegen das AD identifizieren ist klar.
Werden die Benutzer nicht dann auch zwischen DSM und AD synchronisiert?

Edit: Gerade nochmals nachgeschaut. Es findet kein bidirektionaler Sync der Benutzer bei LDAPS zwischen AD und DSM statt.

Daher noch folgende Ansätze:
• Prüfe in Active Directory Users & Computers (ADUC), ob der Benutzer ein neues 2FA-Gerät registrieren kann.
• Falls Azure MFA genutzt wird, kann ein Admin das Gerät in der Azure AD Verwaltungskonsole zurücksetzen.
• Falls Duo Security oder ADFS mit OTP verwendet wird, muss der 2FA-Admin den alten Token entfernen.

 

[pcpanik]

Falls Duo Security oder ADFS mit OTP verwendet wird, muss der 2FA-Admin den alten Token entfernen.

Das klingt nach einem guten Plan. Die Betroffenen hatten Duo genutzt, soweit ich das sagen kann! Ich werde berichten. Danke.

 

[pcpanik]

Also zu Duo, da ist im Duo Admin nichts zu finden. Es wird ja auch lediglich ein OTP in der Duo Mobile App angelegt. Dieser ist aber gelöscht.

 

[maxblank]

Vielleicht ist ein Ticket bei Synology sinnvoll…

 

[pcpanik]

Ja, das denke ich auch. Aber es kann ja immer sein, dass jemand hier sowas schon mal hatte. Danke für Deine Mühe.

 

[maxblank]

Nein, ich hatte selbst diese Problematik noch nicht.

 

[pcpanik]

Hi, ich möchte das hier mal der Vollständigkeit halber ergänzen, damit auch andere eine Lösung finden.
Alle Angaben ohne Gewähr und Durchführung auf eigenes Risiko!

Zunächst muss selbstverständlich in der User-Berechtigung der 2FA Deaktiviert werden.
Der User muss seine 2FA auf seinem Authenticator/Mobilen Gerät löschen.

Zur Kontrolle, ob 2FA auf der Syno nun wirklich "Off" ist, per Putty/SSH sich im Verzeichnis mit den Einstellungen des Benutzers /usr/syno/etc/preference/{Domain}/X/{username}-{suffix}/ die method.config anschauen.

Beispiel:
cd /usr/syno/etc/preference/@XY-ABCD/987/mueller-123456/
cat method.config

Die Asugabe sollte dann so aussehen:

mode=two-factor
status=off
time=xxxxxxxxxx

Wenn es mit dem Einrichten also trotzdem nicht klappt, wird sehr wahrscheinlich noch eine Konfigurationsdatei vorhanden sein.
Diese gilt es umzubenennen.

Im gleichen Verzeichnis mit dem Befehl ll einmal die Dateien Auflisten.
Wenn hier die Datei google_authenticator zu sehen ist, obwohl der Status "off" ist, wird es mit großer Wahrscheinlichkeit die Ursache des Problems sein.
Jedenfalls war es bei mir so.

Um dieses Problem zu beheben habe ich die Datei umbenannt.

mv google_authenticator google_authenticator_bkp

Anschließend kann man es erneut versuchen. Bei mir war es dann erfolgreich. Abschließend habe ich die bkp Datei gelöscht.

rm google_authenticator_bkp


Hinweis: wie mir vom Support mitgeteilt wurde ist eine reine LDAP Anbindung an eine Domäne nicht supported!
Dazu ist in jedem Fall die AD-Join Funktion zu nutzen.

Ich habe also LDAP verlassen und einen AD Join hergestellt.