Aller au contenu

Limitation Acc


Messages recommandés

Bonsoir,

Je souhaite faire réaliser la maintenance de mon système par un tiers.

Il est nécessaire pour cela qu'il ne puisse avoir accès qu'à certaines fonctions du panneau de configuration en excluant et en particulier à tout ce qui touche au partage des fichiers.

Possible certainement (ravi de mes 2 Syno 212j et 214 play) mais comment.

Merci

Lien vers le commentaire
Partager sur d’autres sites

Si tu parles de donner le droit d'accès au DSM à une autre personne un peu comme si tu lui donnais l'identifiant admin et le mot de passe qui va avec je crois qu'il aura du coup tous les pouvoirs, comme toi actuellement, en gros il sera administrateur comme toi.

Le premier point important est surtout de savoir quel niveau de confiance tu auras vis à vis de cette tierce personne.

Même si tu lui crées un compte personnalisé (son identifiant propre avec son mot de passe), le fait de basculer ce compte dans le groupe "administrators" lui donnera tous les pouvoirs d'un administrateur, exactement comme toi. Et c'est logique sinon à quoi pourrait-il servir si il n'a pas les moyens d'effectuer les paramétrages voulus en tes lieux et places ?

A ma connaissance il n'y a pas moyen de limiter les pouvoirs d'un locataire du groupe "administrators".

C'est pour cela qu'on recommande ici-même très fortement de se créer un nouveau compte administrator pour soi-même (avec son pass) et de sortir le "admin" du groupe administrators, voire même de le supprimer ensuite. Je ne sais plus si c'est possible.

Ensuite et à moins que ce soit réellement indispensable au cas où on aurait un besoin très sérieux de paramétrer le syno à distance, de bien s'assurer que les ports 5000 et 5001 sont bien fermés dans le routeur de la box. Les pirates connaissent (eux-aussi) l'existence de ces ports et commencent toujours par tenter leur accès et bien sûr en utilisant en premier lieu l'identif "admin". Ils ne sont pas complètement stupides.

Imagine 5 minutes un "copain" à qui tu aurais donné l'accès comme administrator et qui se dépêcherait de modifier le mot de passe que tu lui a donné ainsi que le tien, celui de ton propre compte d'administrator ?

Il ferait alors ce qu'il voudrait de ton syno et tu ne pourrais plus y entrer pour arrêter la casse. A part faire un bon reset...

Lien vers le commentaire
Partager sur d’autres sites

Il y existe des solutions en fonction des besoins : Si par exemple c'est l'ajout/suppression d'utilisateurs (hors mis l'admin/root) alors on peut faire en sorte qu'un utilisateur lamda ai ce droit la.

Je me repete un peu: quelles sont les operations maintenance que devra faire cette personne ?

Lien vers le commentaire
Partager sur d’autres sites

Le cryptage n'a rien à voir dans ce cas, ce n'est pas une panacée universelle. Le cryptage ne sert qu'à masquer les données sensibles des possibilités de visualisation. Ca n'empêche nullement l'administrateur de supprimer un fichier crypté. Ca ne l'empêchera pas plus d'ajouter ou de modifier des fichiers comme par exemple injecter un programme pour organiser du deni de service.

Pour revenir un peu su la demande de notre ami, bien qu'on ne sait toujours pas précisément ce qu'il voudrait autoriser et ce qu'il faudrait interdire à ce "sous administrateur" et surtout pour quelles raisons.

Par contre je connais un cas qui ressemblerait à ce que cherche notre ami. Sur Joomla (gestionnaire de sites internet) on peut créer un "super-administrateur" qui dispose de tous les droits sur tous les paramètres du site joomla. Il peut aussi créer (lui seul le peut) des "administrateurs" (simples) qui ne peuvent pas modifier certains paramètres très sensibles, comme par exemple désactiver un autre administrateur , lui modifier ses privilèges, ou modifier les MdP.

Sur Joomla c'est nécessaire parce que le suivi sérieux d'un site internet demande beaucoup d'actions de mises à jour des informations données aux visiteurs et de ce fait rend logique l'intervention de plusieurs personnes.

Alors que pour un syno, une fois ce dernier configuré correctement, on a très peu de raisons de revenir sans cesse le reparamétrer, donc un seul administrateur est largement suffisant.

Par exemple pour ma part, mon syno fonctionne depuis plus de 5 ans. Au début, les premières semaines j'y intervenais souvent afin de bien ajuster les réglages. Mais par la suite, depuis au moins 4 ans si je ne rentre dans le DSM qu'une fois par trimestre, c'est bien le bout du monde.

Lien vers le commentaire
Partager sur d’autres sites

Le principe est d'utiliser l'annuaire LDAP pour stocker les utilisateurs "modifiables" par d'autres utilisateurs.

J'ai essayé de mettre cela en place mais je n'ai pas réussi (via l'utilisation des Directory operators). Sinon il faut se connecter en root ...

Serait-il possible d'avoir plus d'explications ? Merci d'avance.

Lien vers le commentaire
Partager sur d’autres sites

Je n'utilise pas le LDAP sur mon Syno mais j'utilise OpenLDAP au boulot et j'édite nos annuaires avec Apache Directory Studio ou avec des utilitaires que j'ai développé pour les taches courantes.

J'ai créé des groupes spéciaux et défini leurs droits directement dans les slapd.conf; ca prend du temps a déboguer ;)

Modifié par Fravadona
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Vos réponses et le débat ouvert justifient amplement mes interrogations.

En effet étant un novice très loin des "opendlap, joomla, etc... je souhaite confier certaines taches à un professionnel qui pourrait mettre en place par exemple les « services web », le « service annuaire », régler les problèmes d’accès sécurises etc…

Je dispose d’un 214 Play et d’un 212j (pour sauvegarde).

Merci de vous décarcasser autant pour un non inité qui ne pourra jamais vous rendre la pareille

Lien vers le commentaire
Partager sur d’autres sites

Ah, alors c'est vraiment un administrateur système dont tu as besoin et non d'un utilisateur avec des droits d'admin pour certaines applications.

Il lui faudra le mot de passe root pour pouvoir bosser, donc il pourra faire ce qu'il veut sur le NAS.

Modifié par Fravadona
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.