Aller au contenu

Messages recommandés

Posté(e)

Bonjour !

Question bête... Est il possible de bloquer l'acces DSM à certains utilisateurs ?

Je pense à des utilisateurs "system", utilisés pour certains services.. et qui n'auraient pas de mot de passe....

Merci !

Posté(e)

Oui explique tu précisément ton problème. De quels utilisateurs parles tu ? Qui accèdent exactement à quoi ? Comment ont-ils eu le MdP ?

Il y a sur les synos toute une hiérarchie très fine au niveaux des accès qu'il faut bien comprendre et bien gérer.

Posté(e)

Désolé.. je précise :

Je ne parle effectivement pas d'un utilisateur créé par un package Synology, mais bien par moi, pour répondre à un besoin particulier.

Il s'agit donc dans ce cas précis d'un utilisateur créé manuellement, avec uniquement un besoin d’accès CIFS sur le LAN.

Du coup, il est également possible de s'y connecter avec cet identifiant... Cela ne me dérange pas forcement sur le LAN, mais mon DSM étant accessible depuis l'exterieur...

Posté(e)

Ahhh ba voilà si tu nous dit pas tout =)

Tu as donc fait l'utilisateur en ssh, il bien après c'est du réglage à faire... Maintenant le plus logique et plus simple... La création via l'interface web et de restreindre ce compte directement...

Posté(e)

Bah oui.. faut bien que je garde une part de mystère :lol:

Alors.. j'ai bien créé l'utilisateur par l'interface web, je peux gérer l’accès aux répertoires, et aux services.. mais je ne vois pas d'endroit où interdire l’accès à dsm :huh:

Posté(e)

Oui mais synology n'a pas prévus cette option, tu peux voir à modifier le webman au niveau de la page de connection en rejetant l'utilisateur créer s'il tente la connection, mais à chaque MAJ, il faudra le refaire, c'est la seule solution propre qui ne sera pas affecter à chaque modification de droit.

Tu peux soumettre l'idée à synology par contre ;-)

Posté(e)

Pour interdire l'accès à quelqu'un vers DSM il suffit simplement de ne pas lui communiquer l'identifiant et le pass de l'administrateur qui ne devrait être que le seul (exclusivement l'administrateur) à avoir accès au DSM et personne d'autre et si possible à moins de nécessité impérative sans accès depuis internet.

C'est tout le principe et toute la finesse de la gestion des "utilisateurs", des "groupes" et des "privilèges" de ces derniers vers les "Dossiers Partagés".

C'est le cas chez moi. Ma femme, ma fille et son magazine, son copain, son photographe, son imprimeur, son monteur vidéo, deux copains à moi ont accès à mon syno mais seulement vers les seuls DP qui les concernent et en tout cas aucun d'eux ne peut accéder au DSM de mon syno.

Posté(e)

Pour interdire l'accès à quelqu'un vers DSM il suffit simplement de ne pas lui communiquer l'identifiant et le pass de l'administrateur qui ne devrait être que le seul (exclusivement l'administrateur) à avoir accès au DSM et personne d'autre et si possible à moins de nécessité impérative sans accès depuis internet.

C'est tout le principe et toute la finesse de la gestion des "utilisateurs", des "groupes" et des "privilèges" de ces derniers vers les "Dossiers Partagés".

C'est le cas chez moi. Ma femme, ma fille et son magazine, son copain, son photographe, son imprimeur, son monteur vidéo, deux copains à moi ont accès à mon syno mais seulement vers les seuls DP qui les concernent et en tout cas aucun d'eux ne peut accéder au DSM de mon syno.

Je ne suis pas certain de te suivre... :huh:

Tes utilisateurs accèdent comment aux DP ?

Posté(e)

En gros il dit juste que chaque utilisateur en se connectant au dsm puis ds file ne voit que certains dossiers, il a pas compris ton cas ou tu veux carrément bloquer l'accès au dsm, moi personnellement je te comprends, j'avais crée un compte uniquement pour la sauvegarde Time machine et Pc fixe, j'étais pas fan que cette utilisateur soit accessible quand j'ouvrais encore l'interface dsm sur le web.

Posté(e)

pour idelektric : En principe une personne qui se sert d'un ordi devrait avoir une session bien à lui placée sur cet ordi.Disons que l'ordi s'appelle "monordi" et la session "masession". "masession" comporte en principe un mot de passe.

Dans le syno toi l'administrateur tu rentres dans DSM et tu enregistres ce client comme "utilisateur" en mettant son nom ("nomdesession" et son pass).

De là tu prends l'onglet des "privilèges" (ou "permissions" suivant les DSM) et tu choisis dans la listes des DP les autorisations que tu donnes à ce client, ou pas.

Ensuite et c'est très important tu vas dans le groupe "users" et tu décoches toutes les cases sinon ton client du réseau interne est automatiquement inscrits dans ce groupe "users", groupe qui a d'origine tous les accès à tous les DP et qui est prioritaire sur tous le sutilisateurs. On ne peut pas retirer un "utilisateur" de ce groupe ni supprimer ce groupe. Il faut donc lui retirer toutes ces "permissions".

Il te faudra bien sûr redonner au cas par cas les permissions à tout tes autres utilisateurs. Tu peux d'ailleurs aussi, si beaucoup d'utilisateurs doivent avoir les mêmes permissions, créer un nouveau groupe, attribuer à ce nouveau groupe les permissions que tu désires et ensuite y verser tous le sutilisateurs voulus, pouvant avoir ces mêmes permissions..

A partir de là, quand un ordinateur est mis en marche, le syno est prévenu, vérifie que la session qui s'ouvre est enregistrée dans ses utilisateurs et autorise alors la connexion vers cet ordinateur (ou plutôt vers cette session). Du coup en ouvrant le poste de travail et en cliquant sur réseau tu afficheras ce qu'il y a sur ton réseau dont le nom de ton syno. En cliquant dessus tu afficheras la liste des seuls DP autorisés pour cette session.

Cela permet à n'importe quel employé (au départ ce type de serveurs était conçu pour les entreprises) pourra avoir accès aux seuls DP dont il peut avoir besoin et pas aux autres comme par exemple le DP réservé au courrier du patron.

D'où le fait qu'il ne faut jamais donner l'identifiant d'accès au DSM (ce que beaucoup confondent avec le syno en général) et son pass à tout le monde. Sinon tout le monde aura accès aux entrailles du syno et pourra tripoter tous les paramétrages comme par exemple se permettre d'aller consulter le courrier du patron ! Seul un administrateur (ou deux ou trois), des personnes de haute confiance doivent avoir l'accès au DSM et personne d'autre. Sinon ça devient très vite la chienlit.

Par ailleurs pour des gens ayant accès depuis l'extérieur (internet) c'est le même principe. Un utilisateur à qui tu as donné l'accès à certains DP devra se connecter avec sa tablette par exemple en utilisant DSfile en utilisant son identifiant et son pass (ceux que tu lui as donné dans l'onglet "utilisateurs"). Il est d'ailleurs recommandé pour un même utilisateur travaillant à la fois sur un ordi interne et sur une tablette externe, d elui donner un autre nom d'identifiant pour l'usage en externe. On peut ainsi (l'administrateur) d'abord lui réduire l'accès aux seuls DP sans danger et surtout en cas de piratage ou autre couper l'accès depuis le net à cet utilisateur sans le couper sur le réseau interne.

C'est ce que je fais chez moi. Ma fille (à 1000Km) a accès à plein de données réparties sur une dizaine de DP auxquels elle a accès mais pas aux DP de mes deux copains. De même mes copains ont chacun accès à leur DP perso et pas à ceux de l'autre pote, ni aux miens, ni à ceux de ma fille. (Moi j'ai droit à tout, on est le chef ou on ne l'est pas !)

Alors bien sûr si tes clients tapent l'IP de ton syno:5000 ils tomberont sur la page d'accès au DSM. Mais sans identifiant et sans le pass, ils ne pourront que passer leur chemin. Quoique tu pourrais aussi fermer le port 5000 et en ouvrir un gardé secret cheminant vers le syno et la page DSM.

Posté(e)

@Einsteinium, effectivement, c'est bien ce qui me semblait.. je vais tenter de re-expliquer, même si visiblement on est d'accord :)

@Domlas, merci pour ces explications. J'ai bien saisi le principe de fonctionnement des droits d’accès auxDP. La n'est pas le problème.

De plus, je pense que nous n'avons pas la même vision de DSM. DSM est l'interface de management du Syno pour l'administrateur, mais permet aussi aux utilisateurs d’accéder à leurs dossiers et services.

Par contre, dans mon cas, je parle bien d'un utilisateur sans mot de passe, avec des droits en lecture (voire ecriture) sur certains DP. Comme le cite Einsteinium, ca peut etre un utilisateur "time machine", "squeezebox" pour de la musique ou autre. Je précise également que ces utilisateurs ont un besoin d'acceder aux DP uniquement depuis LAN, grace a des montage NFS ou CIFS, et non pas depuis internet. Par contre, l’accès depuis internet doit être possible, grâce a la redirection du port 5001, pour les autres utilisateurs "normaux".

Mon but etait donc d'avoir ces utilisateurs spéciaux, qui peuvent accéder aux DP en NFS ou CIFS, mais qui ne peuvent pas accéder a DSM (depuis Internet tout du moins). L'autre solution serait éventuellement de pouvoir bloquer cela sur le FW, mais impossible de préciser cela.

Posté(e)

j'avais fait une demande en ce sens au support: pouvoir créer des comptes "de service" et pouvoir les rattacher à un protocole ou autre.

un autre pb auquel on ne pense pas, c'est que si on utilise le serveur SMPT, ces comptes sont aussi valides pour autoriser les envois de mail... vous avez un compte toto/toto pour un partage générique? et bien on peut envoyer des mails en s'identifiant toto/toto ...

Posté(e)

Bon enfin je ne comprends toujours pas comment oN pourrait à la fois autoriser l'accès à DSM aux utilisateurs et zn même temps leur interdire !

J'en reviens encore à ce que je disais qui n'est d'ailleurs pas spécifique aux synos mais commun à tous les systèmes de serveur. Il y a deux accès : un réservé à l'administration de la machine et strictement d'accés réduit aux seuls administrateurs et un second pour l'accès des utilisateurs lambdas de façon à ce que ces derniers ne puissent jamais agir sur la configuration du système.

De la même façon pourquoi utiliser le port 5001 qui ne "sécurisera" rien du tout ?

Posté(e)

Bon enfin je ne comprends toujours pas comment oN pourrait à la fois autoriser l'accès à DSM aux utilisateurs et zn même temps leur interdire !

J'en reviens encore à ce que je disais qui n'est d'ailleurs pas spécifique aux synos mais commun à tous les systèmes de serveur. Il y a deux accès : un réservé à l'administration de la machine et strictement d'accés réduit aux seuls administrateurs et un second pour l'accès des utilisateurs lambdas de façon à ce que ces derniers ne puissent jamais agir sur la configuration du système.

De la même façon pourquoi utiliser le port 5001 qui ne "sécurisera" rien du tout ?

Ba non je trouve sa logique, sachant que les comptes sont lier entre tous les services et certain paquet d'application que l'on ne peut pas désactivé, exemple concret juste plus haut avec les mails... Je trouve sa dommage que des paquets quand même officiel ne permette pas cette désactivation, comme pour l'accès à l'interface web ou même un filtrage par IP des comptes.

Posté(e)

Bon enfin je ne comprends toujours pas comment oN pourrait à la fois autoriser l'accès à DSM aux utilisateurs et zn même temps leur interdire !

J'en reviens encore à ce que je disais qui n'est d'ailleurs pas spécifique aux synos mais commun à tous les systèmes de serveur. Il y a deux accès : un réservé à l'administration de la machine et strictement d'accés réduit aux seuls administrateurs et un second pour l'accès des utilisateurs lambdas de façon à ce que ces derniers ne puissent jamais agir sur la configuration du système.

De la même façon pourquoi utiliser le port 5001 qui ne "sécurisera" rien du tout ?

Mais je ne veux pas autoriser et interdire à la fois l'acces a DSM !

Je veux qu'un utilisateur ai acces a DSM et aux partages CIFS, et d'autres n'aient acces qu'aux partages CIFS ^_^

C'est un détail, mais en quoi le port 5001 ne "sécurisera" rien du tout ? :blink:

Posté(e) (modifié)

@domlas : Tu joues sur les mots et les termes depuis le début ce qui a ammené ni plus ni moins que du troll volontaire (car malgrès plusieurs explications tu fais fais volontairement semblant de pas comprendre).

Alors oui, si tu ne veux pas donner accès à DSM ça revient à interdire tout accès au NAS car DSM c'est l'OS. Mais comme expliqué par plusieurs personnes, ce qu'ils appellent vulgairement DSM, c'est l'interface web de DSM. C'est ce qu'on appelle un abus de langage, c'est dommage d'avoir généré 1 page de discussion stérile tout ça en faisant de la mauvaise foi...

Donc la vrai question qui est posée, c'est comment peut-on désactiver le service interface web (et donc file station) à un utilisateur. Aujourd'hui il est impossible de le faire ce qui implique que si ton interface web est accessible à distance rend l'accès à file station (et les repertoires partagés pour cet utilisateurs) accessible de l'exterieur.

En gros l'idée est de dire, (totalement indépendamment du raisonnement de groupe, administrateur ou utilisateur) aujourd'hui je peux interdire certains services et/ou protocoles à un utilisateurs simplement tout en ayant accès à l'interface web, mais je ne peux pas faire le contraire (interdire l'accès à l'interface web mais autoriser certains services)

L'exemple de Time Machine est assez parlant. Pourquoi donner l'accès à l'interface web à un utilisateur alors que la seule chose qu'il devrait nécessiter c'est l'accès AFP. Pourquoi donner accès via mon port d'accès web DSM aux données de mes sauvegardes depuis l'extérieur alors que je ne souhaite donner l'accès que via le protocole AFP ?

Cela n'a donc aucun rapport avec modification de configuration par ces utilisateurs, juste empecher l'accès (donc la lecture). Aujourd'hui, le seul moyen d'interdire l'accès depuis l'exterieur aux données d'un utilisateur tel que Time Machine est d'interdire tout accès de n'importe quel utilisateur depuis l'exterieur.

Donc aujourd'hui, il faut blinder tous les utilisateurs de mdp fort pour se protéger, alors qu'une possibilité de donner accès à l'interface web ou non à certains utilisateurs (voir même par protocole) pourrait permettre de dire : Tel user, je ne met pas de mdp (ou alors plutôt faible) car seule une IP locale pourra y accéder. C'est largement suffisant en sécurité pour certaines choses (si on parvient à se connecter sous cet IP, cela veut dire que ton réseau n'est plus sécurisé donc le problème est déjà bien présent et donc mdp ou pas, tu n'es plus en sécurité)

Une solution alternative pourrait être un filtrage IP par utilisateur, mais cela n'est pas possible non plus.

Modifié par Vinky

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.