Ist zwar kein Drama, aber ich bin da mit meinem neuen Synology auf ein Phänomen gestoßen, das ich so nicht erwartet hätte. Vielleicht kann jemand was zur Ursache sagen, ob das Problem auf dem Synology oder dem macOS beruht, und wie man es ggf. abstellen kann.
Im Büro wird momentan ein QNAP-NAS für freigegebene Shares verwendet, jeder Benutzer hat eindeutige Rechte für bestimmte Freigaben, eigenes Passwort und alles funktioniert einwandfrei.
Dieses QNAP soll via VPN und rsync jede Nacht ein Backup auf eine neue Synology DS1621xs+ unter DSM 7.1.1 anfertigen. Das Backup-NAS soll auch als sofortiger Ausfallschutz dienen und das QNAP jederzeit (mit den gegebenen Verlusten durch die festen Backupzeiten) ersetzen können. Auf dem Synology wurden daher identische Benutzer mit identischen Passworten, identische Zugriffsrechte, identische Freigaben etc. angelegt, was auch hervorragend funktioniert.
Zum ersten Transfer der ca. 40 TB Daten sind jetzt beide NAS erstmal im selben LAN, denn über VPN würde man dafür vermutlich Monate brauchen. Beide haben unterschiedliche IP-Adressen, unterschiedliche Namen (QNAP und Backup), beide sind im LAN unter macOS und SMB sichtbar.
Was mich nun irritiert ist, dass auf das Synology in der Seitenleiste des Finders (Monterey und Big Sur) sofort und problemlos zugegriffen werden kann - wohlgemerkt aber ohne das jemals Benutzername oder Passwort für das Synology eingegeben wurden. Es verwendet einfach die vorhandenen im Schlüsselbund eingetragenen Accounts des QNAP und ist von jedem Rechner voll zugreifbar. Rechte und Sichtbarkeit der Freigaben entsprechen den getroffenen Vorgaben. Wirft man die Freigabe aus und will wieder zugreifen, kommt die Benutzer- und Passwortabfrage. Nach Ab- und wieder Anmelden kann man wieder wie gehabt sofort auf das Synology zugreifen.
Bei anderen NAS-Systemen, die ich bisher als Backup-Server im Einsatz hatte, ist mir so was noch nicht aufgefallen. Natürlich habe ich gleich den Schlüsselbund überprüft, ob da ggf. Passworteinträge für das Synology oder dessen IP vorhanden sind, da gibt es aber nur den automatischen Eintrag Backup._smb._tcp.local, Account: Kein Benutzeraccount, Passwort einblenden: leeres Feld.
Da das Teil ohnehin als Ausfallreserve im Notfall vorgesehen ist, stört es mich nicht weiter. Allerdings mache ich mir jetzt gewisse Sorgen wegen der Sicherheit auf dem Synology, denn m.E. sollte auf einem neu hinzugekommenen Gerät im LAN immer zumindest einmal Benutzername und Passwort abgefragt werden, auch wenn diese auf einem komplett anderen NAS mit anderer IP irgendwo schon mal vorhanden sind.
Habe ich da was hinsichtlich der Sicherheitsrichtlinien und Einstellungen irgendwas übersehen, oder ist das bei Synology normal?
Was kann man tun um den loginlosen Zugriff abzustellen, ohne Benutzer- und Passworte zu ändern?
Im Büro wird momentan ein QNAP-NAS für freigegebene Shares verwendet, jeder Benutzer hat eindeutige Rechte für bestimmte Freigaben, eigenes Passwort und alles funktioniert einwandfrei.
Dieses QNAP soll via VPN und rsync jede Nacht ein Backup auf eine neue Synology DS1621xs+ unter DSM 7.1.1 anfertigen. Das Backup-NAS soll auch als sofortiger Ausfallschutz dienen und das QNAP jederzeit (mit den gegebenen Verlusten durch die festen Backupzeiten) ersetzen können. Auf dem Synology wurden daher identische Benutzer mit identischen Passworten, identische Zugriffsrechte, identische Freigaben etc. angelegt, was auch hervorragend funktioniert.
Zum ersten Transfer der ca. 40 TB Daten sind jetzt beide NAS erstmal im selben LAN, denn über VPN würde man dafür vermutlich Monate brauchen. Beide haben unterschiedliche IP-Adressen, unterschiedliche Namen (QNAP und Backup), beide sind im LAN unter macOS und SMB sichtbar.
Was mich nun irritiert ist, dass auf das Synology in der Seitenleiste des Finders (Monterey und Big Sur) sofort und problemlos zugegriffen werden kann - wohlgemerkt aber ohne das jemals Benutzername oder Passwort für das Synology eingegeben wurden. Es verwendet einfach die vorhandenen im Schlüsselbund eingetragenen Accounts des QNAP und ist von jedem Rechner voll zugreifbar. Rechte und Sichtbarkeit der Freigaben entsprechen den getroffenen Vorgaben. Wirft man die Freigabe aus und will wieder zugreifen, kommt die Benutzer- und Passwortabfrage. Nach Ab- und wieder Anmelden kann man wieder wie gehabt sofort auf das Synology zugreifen.
Bei anderen NAS-Systemen, die ich bisher als Backup-Server im Einsatz hatte, ist mir so was noch nicht aufgefallen. Natürlich habe ich gleich den Schlüsselbund überprüft, ob da ggf. Passworteinträge für das Synology oder dessen IP vorhanden sind, da gibt es aber nur den automatischen Eintrag Backup._smb._tcp.local, Account: Kein Benutzeraccount, Passwort einblenden: leeres Feld.
Da das Teil ohnehin als Ausfallreserve im Notfall vorgesehen ist, stört es mich nicht weiter. Allerdings mache ich mir jetzt gewisse Sorgen wegen der Sicherheit auf dem Synology, denn m.E. sollte auf einem neu hinzugekommenen Gerät im LAN immer zumindest einmal Benutzername und Passwort abgefragt werden, auch wenn diese auf einem komplett anderen NAS mit anderer IP irgendwo schon mal vorhanden sind.
Habe ich da was hinsichtlich der Sicherheitsrichtlinien und Einstellungen irgendwas übersehen, oder ist das bei Synology normal?
Was kann man tun um den loginlosen Zugriff abzustellen, ohne Benutzer- und Passworte zu ändern?
