DSM 6.x und darunter DSM Oberfläche nur noch von "admin" user erreichbar

[bitsurfer.bill]

Hallo zusammen,

meine gute, alte Synology DS414j erlaubt mir aktuell leider nur noch als "admin" auf ihre Weboberfläche des DSM zuzugreifen.

Ich habe bereits versucht, mich mit verschiedenen Nutzern von unterschiedlichen Endgeräten anzumelden, auch über verschiedene Browser, aber nichts hat bisher funktioniert. Es zeigt zwar in den Logs an, dass sich mein User erfolgreich bei DSM angemeldet hat, aber an der Oberfläche erscheint bis auf den Admin user immer der Klassiker "sie dürfen diesen dienst nicht verwenden".

Für den Calendar habe ich auch einen ganz neuen User angelegt, welcher die nötige DSM und Calendar Applikationsfreigabe hat, aber auch mit dem funktioniert der Zugriff nicht. Das gleiche gilt für sämtliche "alte" Nutzer, welche ich inkl. DSM Rechten angelegt hatte und die ihre sonstigen Aufgaben nach wie vor ohne Probleme erledigen können (Datenfreigaben, Fotos, etc.). Kein Dienst ist eingeschränkt, nur komme ich eben weder lokal im LAN noch über "synology.me" auf meine DS, bei mir: "https://BEISPIEL.synology.me:15001".

Braucht man für den DSM Zugriff noch etwas anderes als die Applikationsberechtigung "DSM"?
Bei meinem Nutzer ist hier unter Vorschau und Gruppenberechtigung "Verweigert" zu lesen, ich habe aber "Zulassen" angehakt in der "DSM" Reihe. Wir hier irgendetwas Rechtemäßig übersteuert?

Bin für jede Hilfe dankbar!

Viele Grüße,
Bill Bitsurfer

 

[the other]

Moinsen,
ist die NAS-interne Firewall aktiv und blockt ggf. den Zugriff?
Magst du mal nen screenshot posten von den "verweigert" Ansichten?

 

[luddi]

Die Gruppe "users" sollte in den Berechtigungseinstellungen Zugriff bekommen. Wie sieht es denn hier bei dir aus?

 

[Benares]

Schau mal unter Systemsteuerung, Berechtigungen, DSM, Bearbeiten
Bei mir sitzt da im Reiter Standard-Berechtigungen das Kreuzchen bei "Diese Berechtigung ... für alle Benutzer gewähren"
Bei den Reitern Benutzer und Gruppe ist nichts gesetzt.

Das ist wohl Standard so. Zumindest ist mir nicht bewusst, dass ich da je was geändert hätte.

 

[synfor]

Die Gruppe "users" sollte in den Berechtigungseinstellungen Zugriff bekommen.

Falsch, da sind standardmäßig gar keine Häkchen gesetzt und das sollte besser auch so bleiben.

Bei meinem Nutzer ist hier unter Vorschau und Gruppenberechtigung "Verweigert" zu lesen, ich habe aber "Zulassen" angehakt in der "DSM" Reihe. Wir hier irgendetwas Rechtemäßig übersteuert?

Wenn du irgendwo etwas verweigerst, so hat das Priorität. D. h. explizite Erlaubnisse anderswo sind wirkungslos. Du hast wohl in einer Gruppe, in der die User Mitglieder sind, DSM verboten. Users wird es wohl nicht sein, denn dann hättest du auch den Admin ausgesperrt. Überprüfe das aber trotzdem.

 

[bitsurfer.bill]

So, nachdem ich eure Antworten gelesen habe, ist mir aufgefallen, dass ich aus einem Zugriff erlauben ein verweigern gemacht habe in einer anderen Gruppe und sich so eine Überschneidung ergab für die entsprechenden Nutzer, wobei aber hier "verweigern" anscheinend gewonnen hat.

Ich habe jetzt die Gruppen entschlankt und wieder leichter verständlich gemacht. Jedoch von luddis user Vorschlag abgesehen, weil ich nur zwei Usern insgesamt die Rechte für den DSM Zugriff geben will.

Und voila, es geht wieder

Vielen Dank für euren Input, ich hätte das so nie alleine gefunden.

 

[luddi]

Falsch, da sind standardmäßig gar keine Häkchen gesetzt und das sollte besser auch so bleiben.

Aus welchem Grund sollte das besser so bleiben? Ich denke nicht dass es ein Unterschied macht ob
a.) Standard-Berechtigung --> Diese Berechtigung standardmäßig für alle Benutzer gewähren
ODER
b.) der Gruppe "users" den Zugriff explizit zu gewähren

Das eine schließt das andere ein und umgekehrt. Denn ein User gehört beim Anlegen über die GUI immer per Default zur Gruppe "users".

Ich sehe hier kein Sicherheitsrisiko auf Berechtigungsebene...

 

[Jagnix]

Aus welchem Grund sollte das besser so bleiben?

Ganz einfach, es ist die Standardgruppe wo Hinz und Kunz reinkommt. Ergo hätten Hinz und Kunz diese rechte.
Wenn du etwas über Gruppenberechtigungen regeln möchtest, einfach neue erstellen.

 

[luddi]

Standardgruppe wo Hinz und Kunz reinkommt

Die User die ich auf meinem System angelegt habe sind aber nicht Hinz und Kunz.
Außerdem was soll es für einen Unterschied machen ob ich eine separate Gruppe anlege welcher ich den Zugang zu DSM explizit erlaube und anschließend mir gezielt User auswähle die ich dieser Gruppe hinzufüge.

Wenn du etwas über Gruppenberechtigungen regeln möchtest, einfach neue erstellen.

Der Schwachpunkt ist doch nicht die Berechtigung einer Gruppe.
Wenn ein User Zugriff auf DSM bekommt dann ist die einzige Schwachstelle der User selbst.

Ob ein User Account der Gruppe "users" oder der Gruppe "dsm-users" angehört und gehackt wird spielt keine Rolle. Man meldet sich sicher nicht mit einer Group ID am System an. Die Anmeldung erfolgt immer per User/Passwort Kombination.

 

[blurrrr]

Der "Schwachpunkt" (bzw. die Fehlkonfiguration) ist schlichtweg das "Verbot", denn dann ist schon grundsätzlich etwas schief gelaufen, weil im Vorfeld etwas erlaubt wurde, was garnicht erlaubt sein sollte und man es deshalb auch wieder verbieten muss ??

 

[Jagnix]

Außerdem was soll es für einen Unterschied machen ob ich eine separate Gruppe anlege

Weil es hier genug Beiträge gibt wo Leute u.a. an der Usergruppe rumgespielt haben und plötzlich die home Ordner nicht mehr erreichbar waren.
Weil sie an den Standard rumgespielt haben.

Die User die ich auf meinem System angelegt habe sind aber nicht Hinz und Kunz.

Ok haste nicht verstanden wie ich das meinte.

 

[luddi]

@Wadenbeißer
Mag sein dass es hier unbedarfte Personen gibt, dies aber rein überhaupt nichts mit dem grundsätzlichen Mechanismus von Gruppen und deren Berechtigungen zu tun.

Und wenn es diese Personengruppen hier im Forum gibt die Unterstützung benötigen dann bin auch ich einer der ihnen helfen möchte.

 

[Benares]

Sagen wir mal so:
Es mag Anwendungsfälle, wo sich eben nicht jeder User mit dem DSM verbinden können soll. Aber im Moment fallen mir keine ein
Er kann als unprivilegierter dort eh nicht viel tun.

 

[luddi]

@Benares Ganz genau, da stimme ich auch zu. Und wie du schon erwähnst, gibt es vermutlich kaum solcher Anwendungsfälle. Und wenn doch dann ist das eben anwenderspezifisch.
Klar kann ein unprivilegierter User dort nicht viel tun, außer dieser User hätte wiederum Berechtigungen auf die FileStation und zugleich schreibrechte auf diverse Freigaben.


Ich möchte auch niemandem vorschreiben wie etwas zu konfigurieren sei, geschweige dessen was richtig oder falsch ist.
Das WebUI bietet eben diese Freiheitsgrade und ist somit eine kundenspezifische Anpassung am System.
Nur weil eine Einstellung vom Hersteller als Standard ausgeliefert wird, ist es kein Zwang das System im Auslieferzustand zu betreiben.
Wenn das so wäre, dann dürfte man auch das Standard Passwort für den Admin nicht ändern weil es dann sicher Leute hier im Forum gibt die sich im Anschluss beklagen sie hätten sich selbst ausgesperrt.

 

[ottosykora]

Es mag Anwendungsfälle, wo sich eben nicht jeder User mit dem DSM verbinden können soll. Aber im Moment fallen mir keine ein

dann kennst du eben nicht meine Enduser. Genau das muss ich bei einem Büro so gestalten. Kein DSM, nur für den Chef. Und nur weil er remote Zugriff wollte auf seine DS die in einem Intranet steht, habe ich ihm QC eingeschaltet und dafür ist ihm nun der Zugang zu Filestation angenehm.
Alle anderen Angestellten sollen gar kein Zugriff auf DSM haben.
Grund? Den bedarf es nicht. Er ist der Büroleiter und damit ist alles auf der Welt automatisch begründet.

 

[Synchrotron]

Einfache Fälle aus dem Hausgebrauch:

• Reiner Backup-User, schreibt mit diesen Rechten nur Backups auf die DS. Kein DSM …
• User nur für die Musikbibliothek, streamt nur Musik. Kein DSM …

Es macht Sinn, sich seine use cases zu überlegen. Ich bin dann eher ein Freund davon, Anwendungsfälle mit einem spezifischen User abzudecken - vor allem dort, wo ich Zugangsdaten fest irgendwo anders abspeichern muss. Diese User bekommen so wenig Rechte wie möglich.