DSM 6.x und darunter Administrator Konto teilweise gesperrt

[FrankEr]

Hallo zusammen,
ich habe seit gestern auf meiner DS918+ (DSM 6.2.4) ein Problem mit dem Administratorkonto. Gestern waren kurzeitig sämtliche Konton gesperrt. Ursache waren möglicherweise fehlgeschlagene Anmeledeversuche mit dem Administratorkonto bei openVPN. Mittels der Reset-Taste konnte ich das Problem erstmal wieder beseitigen. Nun hat aber der Systemadminstrator nur noch von einem einzigen Rechner Zugriff. Es klappt kein Zugriff von meinen iOS Geräten, weder über Browser noch über die DS Apps. Auch über Quickconnect läuft das Konto nicht mehr. Leider kann ich aber nirgends eine Einschränkung des Kontos auf eine bestimmte IP sehen. Ich finde auch sonst keine Einschränkungen bestimmetr Services für das Konto.

Nachdem ich wieder Zugriff hatte, habe ich ein zweites Adminstrator Konto eingerichtet. Dieses hat von überall Zugrifff auf die DS.

Wo kann ich suchen, um das Problem einzugrenzen?

Grüße
Frank

 

[Benares]

Schau mal hier in diesem Bereich, was dort konfiguriert ist:



Es könnte sein, dass irgendein Prozess sich falsch anmeldet und der Zugriff für diese IP für eine gewisse Zeit gesperrt wird. Die aktuelle Blockierungsliste ist dort auch einsehbar. Außerdem lohnt ein Blick ins Protokoll-Center, ob dort fehlgeschlagene Anmeldeversuche aufgeführt sind.

 

[FrankEr]

OK, Danke schonmal. Da hatte ich gestern schon ausführlich geschaut. Es gab eine IP, die gestern gesperrt wurde. Die hatte ich aber von der Blockierungsliste gelöscht, was jedoch nichts geändert hat. Das Protokoll nennt diese IP natürlich auch. Allerdings ist in dem fraglichen Zeitraum sonst nichts wirklich interessantes geschehen. Lediglich von einer normalen Benutzerkennung (nicht Adiminstrator) hatte ich das Passwort geändert.

Gibt es irgendwo eine Einstellung, das Administratorkonto auf den Zugriff von einer bestimmten IP, einem IP-Range, einem Browser oder einem speziellen Rechner einzuschränken? Möglicherweise besteht das Problem schon länger und ich habe es nur nicht bemerkt, weil ich den Administrator nur selten benutze und wenn dann von genau diesem Rechener aus. Vielleicht habe ich ja vor ewigen Zeiten versehentlich irgendeine Einschränkung vorgenommen, die ich nun nicht mehr finde.

 

[Benares]

Wenn eine IP gesperrt ist, kann sich auch ein Administrator nicht mehr von dieser IP aus anmelden. Ich glaube auch nicht, dass das Löschen aus der Blockierungsliste die Sperre aufhebt. Da hilft es nur, die IP des Clients temporär zu ändern oder sich von einem anderen Gerät aus anzumelden.
Aber das hilft alles nichts, du musst herausfinden, wieso die Sperre entsteht. Meist sind das irgendwelche Programme, bei denen die Zugangsdaten irgendwann mal fest eingetragen wurden und vergessen wurde, das nach Änderungen nachzuführen.

 

[FrankEr]

Ok, dann schaue ich mal, ob irgendwelche meiner diversen Raspberrypi das Ungemach verursachen

 

[Uwe96]

Wenn es eine IP SPerre ist dann sollte man ja schnell raus bekommen welches Gerät diese IP nutzt

 

[ottosykora]

. Ich glaube auch nicht, dass das Löschen aus der Blockierungsliste die Sperre aufhebt.

doch , das hebt die Sperre sofort auf

passiert oft bei Fehler in den Credentials, dann wird es halt blockiert. Dann logge ich mich von wo anderes ein, zum Bsp auch von aussen mit QC, lösche den Eintrag in der Blockliste und alles geht wieder.
Einen User zu sperren aus einem bestimmten Zugang wird zwar gelegentlich hier im Forum gewünscht, ist aber bis jetzt nicht möglich.

 

[Benares]

doch , das hebt die Sperre sofort auf

Gut zu wissen - danke. Mir persönlich fehlen dazu die Erfahrungen.

 

[ottosykora]

passiert oft bei der Verwendung von Password Speichern in Browser
da vertippt man sich mal, schon wird es gespeichert und beim nächsten Versuch gleich mit 'falschen Sternchen' ausgefüllt.
War mein erster Fehler am ersten Tag als ich vor ca 10 Jahren meine erste DS aufgesetzt habe. Konnte mich dann von einem anderen Anschluss korrekt anmelden und Block Liste löschen.

 

[FrankEr]

Wenn es eine IP SPerre ist dann sollte man ja schnell raus bekommen welches Gerät diese IP nutzt

Es ist keine IP-Sperre. Zumindest keine einzelne. Offensichtlich sind alle Zugriffe egal woher (auch QC) auf das Konto gesperrt, außer sie kommen von einem speziellen Rechner. Eine solche Einstellung kann ich aber nirgends finden. Ich habe mehrere andere Rechner auf die IP Freigabeliste gesetzt. Nützt aber nichts.

 

[ottosykora]

das ist nicht alles so einfach
es kommt darauf an welche Quelle 'versteht' die DS
Es ist auch möglich eine Sperrung zu bekommen wenn man von intern eine Anfrage auf DDNS Adresse macht. Das hat dann Folge für alle Geräte die aus dem Netz welche nun so eine Verbindung versuchen.
Auch QC ist nicht immer voll 'von aussen' je nach dem versucht es halt die nächst beste Verbindung aufzubauen

Ein Konto alleine automatisch zu sperren geht nicht, automatische Sperrung gibt es nur für IP, egal ob intern oder extern

Ich denke hier ist es einfach ein Fehler in den Anmeldedaten.

 

[Kurt-oe1kyw]

der Systemadminstrator nur noch von einem einzigen Rechner Zugriff. Leider kann ich aber nirgends eine Einschränkung des Kontos auf eine bestimmte IP sehen. Ich finde auch sonst keine Einschränkungen bestimmetr Services für das Konto.
Wo kann ich suchen, um das Problem einzugrenzen?

Melde dich mit dem funktionierenden zweiten Adminkonto an und dann geh in die Zeile von dem Adminkonto wo nur ein PC Zugriff hat.
Hast du irgendwann mal vielleicht da herumgespielt:



Für mich schaut das so aus, als ob du dort DSM für dieses eine Adminkonto auf diese IP eingeschränkt hast und daher nur mehr dieser PC Zugriff hat auf DSM. Entweder nimmst du den grünen Haken in der Spalte "Nach IP" in der Zeile DSM wieder heraus, oder du setzt den Haken wieder in die Spalte "Zulassen".

Anmerkung:
Das Drücken der Resettaste für 4 Sekunden, setzt nur das Konto "admin" und im Normalfall dessen Kennwort (*) zurück und hebt diverse Blockierungen, 2FA, Secure SignIn usw auf, aber es ändert nichts an Userkonten welche du angelegt hast und in die Gruppe Administratoren gehoben hast. Die bleiben davon unberührt und eine etwaige IP Freigabe bleibt auch nach dem Reset Aufrecht.

*) normalerweise wird das Kennwort vom Systemuserkonto "admin" zurückgesetzt durch den Reset, ausgenommen man hat dies explizit ausgeschlossen:

aber das muss bewusst eingestellt worden sein um eine Kennwortänderung auch durch die Reset-Taste zu verhindern.

 

[FrankEr]

Genau die Stelle hatte ich ja auch schon im Verdacht, aber leider sieht s dort für das teilweise gesperrte Konto so aus:



Für den Fall, dass die Synology hier nicht die Wahrheit anzeigt, habe ich DSM auf "Nach IP" umgestellt und anschließend wieder zugelassen und dasselbe nochmal mit "Verweigern". Kein Erfolg. Es bleibt alles beim Alten: Anmeldung nur von einem einzigen Rechner aus.

EDIT: Auch das Herausnehmen des Users aus der Admingruppe und anschließendes Hinzufügen führt nicht zu Änderungen.

Danke auch für die Hinweise rund um das "admin" Konto. Dort hatte ich keine Ädnerungen vorgenommen. "Admin-Kenwort beibehlaten" ist also nicht angehakt.

 

[FrankEr]

Ok, dann schaue ich mal, ob irgendwelche meiner diversen Raspberrypi das Ungemach verursachen

Das Ergebnis hier ist auch gleich Null. Diverse raspis mounten einfach Verzeichnisse auf der Synology um dort Daten abzulegen. Die Mounts funktionieren alle einwandfrei und verwenden natürlich nie das Administratorkonto, sondern einen der normalen Benutzeraccounts.

 

[Benares]

Schau dir die Geschichte auch mal umgekehrt über Systemsteuerung->Anwendungsberechtigungen->DSM->Bearbeiten an.
Evtl. ist dein Benutzer auch in einer Gruppe für die eine IP-Einschränkung gilt.

 

[FrankEr]

Auch da war ich schon drin, aber ein zweiter Blick schadet ja nie. Doch leider:


Die bedien unteren Einträge sind meine beiden Admins, der obere von beiden ist der, der mit den Einschränkungen. Für die Gruppe gibt es auch keine Einschränkungen:


Und: Ja, der fragliche Account gehört in die Gruppe administrators.

Kann ich irgendwie im Terminal forschen um ?

 

[Benares]

Bei mir ist im Reiter Standard-Berechtigungen der Haken gesetzt und es sitzen überhaupt keine Häkchen bei Benutzer oder Gruppen (Default) . Bei dir nicht? Und wenn nein, dann wozu nochmal über Gruppen und über Benutzer. Sind die beiden keine administrators?

 

[FrankEr]

An diesen Stellen habe ich selbst Nullkommanix geändert. D.h. das DSM hat die Häkchen gesetzt (oder nicht gesetzt). Unter Standard-Berechtigungen für DSM sieht es bei mir so aus:



Ich habe probehalber mal den Haken in der Einzeleinstellung "Zulassen" entfernt, so dass eigentlich die Standardberechtigung greifen sollte. Aber auch das hat keinen Erfolg.

Zusätzlich habe ich nochmal die Protokolle bis 2018 zurück durchforstet, ob hier irgendetwas auffällig ist. Leider auch kein Ergebnis.

 

[FrankEr]

... immerhin ist es mir inzwischen gelungen einen zweiten Rechner (mit 2 IPs, LAN und WLAN) aufzutreiben, von dem der Login mit dem Administrator auch funktioniert