d4RSH Posté(e) le 14 avril 2019 Posté(e) le 14 avril 2019 (modifié) Bonjour, Je vous propose un petit tutoriel pour lier KeePass à votre NAS. Objectif : Paramétrer le NAS afin d'accéder à une base de donnée (BD) KeePass, stockée sur celui-ci (NAS) et ce, de façon synchronisé entre tous vos appareils (Android KEEPASS, Windows ...). Prérequis : Être sur un compte administrateur, Comprendre un minimum les différentes fonctions de votre NAS (Créer un certificat, créer un dossier partagé...), Avoir pré-configuré votre NAS, notamment sur la sécurité du NAS, avec des tutoriels comme ceux de Fenrir ou Kawamashi (Pour le reverse proxy), Avoir un NDD où avoir son DDNS (xxxxxxx.synology.me etc...), Entre autre, ce tutoriel s'adresse à ceux qui ont finit les tutoriels cités précédemment, et qui peuvent accéder à leurs NAS en Reverse proxy ou via le ndd.fr:5001 Réglage du NAS : (avec un Compte administrateur) Principales étapes · Mise en place paquet WebDav · Création d’un groupe et compte user KeePass · Gestions des permissions lecture/écriture · Création dossier partagé pour BD Keepass · Réglage pare-feu NAS + BOX (pour reverse proxy OU Sans reverse proxy) · Vérification fonctionnement Télécharger le paquet WebDav Server Activer https (laisser port 5006 par défaut) Créer un Groupe utilisateur Créer un nouveau groupe « WebDav User », Passer l’étape des permissions pour le moment, Choisir « Webdav server » dans Applications, Créer un nouvel utilisateur : « KPass », Assigner cet utilisateur au groupe « WebDav User » uniquement ("user" est pas défaut et inchangeable btw), Passer le choix des permissions pour le moment, Cocher « WebDav server » dans application, Aller dans dossier partagé Créer un nouveau dossier partagé « WebDav » Créer un sous-dossier « KeePass » Éditer paramètres dossier partagé WebDav Dans Permissions > Utilisateurs locaux à Donner la permissions à KPass uniquement Dans Permissions > Groupes locaux à Donner permissions à Admin et WebdavUser Dans Permissions > Utilisateur système interne à Donner la permission Uniquement à Anonymous FTP/Presto/Webdav … Éditer les permissions de l’utilisateur KPass Éditer les permissions du groupe WebDav User (Sans reverse proxy) Réglage Pare-Feu du NAS Ouvrir le port 5006 (restreindre les IP source à la France, si pas besoin d’accéder à la BD KPass à l’étranger) (reverse proxy) Réglage Pare-Feu du NAS Si votre reverse proxy passe déjà par le port 443, alors pas besoin de changer quoi que ce soit dans le pare-feu NAS Créer/Re-créer un certificat lets encrypt Ouvrir les ports 80 et 443 sur votre BOX + sur le NAS, le temps de la création du certificat) Rentrer le nom de domaine, rentrer les sous-domaines éventuels et vérifier qu’il couvre bien le WebDav (reverse proxy) Écrire le sous domaine webdav.ndd (reverse proxy) Créer un reverse proxy pour le webdav folder Réglage pare-feu BOX : (Sans reverse proxy) Ouvrir le port 5006 sur la box (Sans reverse proxy) Créer la règle de redirection du port externe 5006 vers le port interne 5006 du NAS (reverse proxy) Ouvrir seulement le 443 sur la box + pas de règle supplémentaire. (pour le port 5006; remplacer le "443" par "5006" sur les screens ci-dessus) Vérifier l’accès du dossier via WebDav par Windows (Sans reverse proxy) Tester avec l’URL du dossier Webdav : https://ndd:5006/WebDav (reverse proxy) https://webdav.ndd/WebDav/ Essayer d’enlever et de mettre des dossiers en drag & drop Si ça fonctionne alors bravo ! Déposer votre BD Keepass dans le dossier KeePass qui est dans le dossier partagé WebDav Ouvrir l’application keepass android ou windows Ouvrir base depuis url… Écrire https://ndd:5006/WebDav/KeePass/NOMBD.kdbx Ou alors si Reverse proxy : https://webdav.ndd/WebDav/KeePass/NOMBD.kdbx Se connecter avec le compte utilisateur keepass et vérifier que le compte n’a accès à rien à part le dossier partagé webdav ENLEVER LE DROIT DE LECTURE/ECRITURE/CONSULTATION du compte utilisateur Keepass dans l’application photoStation directement (à l'aide d'un compte admin) Modifié le 15 avril 2019 par d4RSH 1 Citer
Einsteinium Posté(e) le 14 avril 2019 Posté(e) le 14 avril 2019 Le début de ton post à purger (il y a le signalé d’un autre post) Un modérateur sur le sujet qui valide ce dernier ? Perso je n’utilise pas. 0 Citer
Mic13710 Posté(e) le 15 avril 2019 Posté(e) le 15 avril 2019 Il faudrait corriger les url en remplaçant les synology.me par le ndd. On parle de ndd en début de tuto, il faut conserver le même format tout au long. Perso, je ne passe par webdav pour keepass2android. J'utilise la version offline de ce dernier et je passe par DSCloud pour accéder à la base. 0 Citer
d4RSH Posté(e) le 15 avril 2019 Auteur Posté(e) le 15 avril 2019 J'ai corrigé les 2/3 trucs, et à moins d'une grosse coquille, je pense que ça restera comme ça de mon coté. De toute façon, le tuto est trouvable sur un de mes post. Je suis curieux du fonctionnement du mode offline, tu as un lien ? Cdlt. 0 Citer
Mic13710 Posté(e) le 15 avril 2019 Posté(e) le 15 avril 2019 Pas besoin de lien. Je me synchronise sur ma base avec DSCloud et j'utilise le fichier avec Keepass2Android. La version offline est la même que l'online sans les liens externes. 0 Citer
_Megalegomane_ Posté(e) le 15 avril 2019 Posté(e) le 15 avril 2019 Merci pour ce tuto. Perso j'utilisais DScloud mais j'avais des soucis de synchronisation quand je faisais une modification de la base depuis mon téléphone Android et que la base était ouverte sur un autre PC. La nouvelle application Drive sur Android ne fonctionnait pas mieux.Bon après j'ai peut-être pas su configurer les bonnes options de Keepass2Android... Depuis que je suis sur WebDAV, tout marche nickel. Envoyé de mon ONEPLUS A5000 en utilisant Tapatalk 0 Citer
pluton212+ Posté(e) le 19 avril 2019 Posté(e) le 19 avril 2019 Bonjour, j'utilise DS cloud et drive et ça marche au top. C'est très simple à mettre en œuvre, quelques minutes. 0 Citer
_Megalegomane_ Posté(e) le 19 avril 2019 Posté(e) le 19 avril 2019 Bonjour, j'utilise DS cloud et drive et ça marche au top. C'est très simple à mettre en œuvre, quelques minutes.Même si la base est ouverte et modifiée sur plusieurs périphériques en même temps ? Je l'ai souvent ouverte sur mon pc du boulot, sur mon téléphone, parfois sur mon pc chez moi si je rentre entre midi et deux. Alors pour peu qu'il y est une modification quelque part ça partait souvent en vrille avec des doublons de fichiers ou des écrasements de modifications.De mon côté c'était le plus souvent les modifications sur téléphone qui posaient problème malgré différentes options testées.Depuis, je suis passé à WebDAV avec un filtrage sur mes IP du boulot et de la maison.Envoyé de mon ONEPLUS A5000 en utilisant Tapatalk 0 Citer
pluton212+ Posté(e) le 19 avril 2019 Posté(e) le 19 avril 2019 La base se verrouille au bout de quelques minutes et lors de la réouverture elle se synchronise. Sinon sur pc un 'enregistrer' met les données à jour également. Si je ne suis pas devant mon pc, je prends soin de déconnecter ma session et par la même keepass (pour éviter de laisser le coffre fort ouvert...). 0 Citer
Mic13710 Posté(e) le 19 avril 2019 Posté(e) le 19 avril 2019 Sur PC, on peut paramétrer keepass pour qu'il enregistre chaque modification de la base. Sur mobile, je ne sais pas si je suis le seul, mais les modifications ou ajouts sont pour ma part quasi inexistants. Quand il y en a, ils sont gérés par DS Cloud et donc synchronisés avec la base du NAS. 0 Citer
_Megalegomane_ Posté(e) le 19 avril 2019 Posté(e) le 19 avril 2019 Personnellement, malgré les bonnes pratiques de sécurité citées plus haut (verrouillage de keepass, etc...), avoir essayé différentes options, même ce schéma de synchronisation : https://keepass.info/help/kb/trigger_examples.html#dbsyncLa synchronisation des modifications qui ont été faites depuis mon téléphone avec un "cloud syno" a toujours eu du mal à fonctionner.Après, c'est vrai que mon utilisation est peut-être particulière :- utilisation multi périphériques- multi plateformes- parfois en simultané (je partage la base avec ma femme, je peux faire des modifs sur 2 périphériques différents sur un court intervalle...)WebDAV a l'avantage de bien géré tous les cas.Envoyé de mon ONEPLUS A5000 en utilisant Tapatalk 0 Citer
pluton212+ Posté(e) le 19 avril 2019 Posté(e) le 19 avril 2019 Certes, de plus je n'ajoute pas des log et mdp toutes les 5 mn depuis mes pc smartphones et tablettes... C'est plus pour avoir disponibles mes id/mdp sur tout mes supports. Tu dois en ajouter beaucoup et tout le temps, c'est pour quel type d'utilisation ces ajouts intensifs ? 0 Citer
StephB Posté(e) le 19 avril 2019 Posté(e) le 19 avril 2019 Merci pour ce tuto très interessant 😉 0 Citer
_Megalegomane_ Posté(e) le 19 avril 2019 Posté(e) le 19 avril 2019 Certes, de plus je n'ajoute pas des log et mdp toutes les 5 mn depuis mes pc smartphones et tablettes... C'est plus pour avoir disponibles mes id/mdp sur tout mes supports. Tu dois en ajouter beaucoup et tout le temps, c'est pour quel type d'utilisation ces ajouts intensifs ?J'ai quelques identifiants professionnels où il m'est imposé de modifier tous les X jours le mot de passe. Il y a aussi mes 2 banques qui m'obligent à changer régulièrement de mot de passe toutes les X connexions (Grrr... Tout ça pour être restreint sur des mots de passe d'une simplicité enfantine ).Puis les créations de compte, c'est pas tous les jours mais entre le pro et le perso ça peut aller vite.Et j'oublie certainement des choses (enregistrement de clé API, licence et autres...).Puis keepass étant très customisable, on peut faire pas mal d'actions avec (lancer une connexion TeamViewer ou SSH ou RDP vers un périphérique, lancer des applis ou des scripts en tout genre en double cliquant une entrée...).Quand on additionne le tout je me retrouve finalement assez vite avec des modifs régulières. Envoyé de mon ONEPLUS A5000 en utilisant Tapatalk 0 Citer
CoolRaoul Posté(e) le 20 avril 2019 Posté(e) le 20 avril 2019 (modifié) Petit retour d'expérience. Ma base Keepass de référence est stockée sur mon NAS dans un dossier géré également par Drive. J'y accède de diverse manière: en WebDav sur SSL depuis mon lieu de travail en SFTP depuis mon smartphone. en SMB depuis mon réseau local (PC et tablette) via le dossier partagé Drive sur le PC de ma mère (quand je passe faire du support informatique à domicile). Tout cela fonctionne et se synchronise sans problème dans tous les sens. Sachant que dans Keepass, que ce soit la version Windows que la version Android, la fonction "enregistrer" est en fait une synchronisation bi-directionnelle il n'y a pas trop de risque de perdre une modif. En outre, le fait que ma base soit stockée dans Syno Drive me fait implicitement bénéficier du versioning intégré ce qui permet un éventuel retour arrière rapide en cas de fausse manip. Modifié le 20 avril 2019 par CoolRaoul 0 Citer
d4RSH Posté(e) le 26 avril 2019 Auteur Posté(e) le 26 avril 2019 Tu fais ça avec le paquet "Drive" ? ou le drive synology ? 0 Citer
CoolRaoul Posté(e) le 26 avril 2019 Posté(e) le 26 avril 2019 il y a 48 minutes, d4RSH a dit : Tu fais ça avec le paquet "Drive" ? ou le drive synology ? Euh... Je ne comprend pas la différence 🤔 0 Citer
d4RSH Posté(e) le 26 avril 2019 Auteur Posté(e) le 26 avril 2019 Il y a un paquet qui s'appelle seulement "Drive" et l'autre le Drive/cloud de synology.😁 En faite je me demandais si pour clouder tes dossiers, tu utilisais un paquet "différent" de celui de Synology x) 0 Citer
CoolRaoul Posté(e) le 26 avril 2019 Posté(e) le 26 avril 2019 il y a 5 minutes, d4RSH a dit : Il y a un paquet qui s'appelle seulement "Drive" et l'autre le Drive/cloud de synology Le paquet que j'utilise se nomme seulement "Drive" mais il est bien de Synology aussi: Je ne connais pas ce "Drive/Cloud" 0 Citer
d4RSH Posté(e) le 27 avril 2019 Auteur Posté(e) le 27 avril 2019 Ah ok, je ne savais pas, au temps pour moi ! Merci ! 0 Citer
mchelmi Posté(e) le 12 novembre 2019 Posté(e) le 12 novembre 2019 (modifié) Merci pour ce super tuto ! Tout est synchro entre les postes windows et le mobile android . Une info qui peut servir à certains: Il m'a été impossible de mapper un lecteur WebDav en saisissant https://webdav.ndd.fr/WebDav, en revanche c'est passé direct en entrant \\webdav.ndd.fr\WebDav. Donc : net user K: \\webdav.ndd.fr mdp /KeePassUser Je suis sous WIndows 7, avec une zone DNS locale (Merci Fenrir). Modifié le 5 décembre 2019 par mchelmi fotes d'aurtoghrafe 0 Citer
mchelmi Posté(e) le 5 décembre 2019 Posté(e) le 5 décembre 2019 Quid de ma database si je n'ai pas accès un internet ? (je peux très bien stocker des données auxquelles j'ai besoin d'accéder hors ligne). Dans ce cas, il faut passer par l'utilisation de triggers. Mais d'abord, copier votre DB localement, puis: Tools > Triggers > Add. Onglet Properties: Choisir un nom significatif Onglet Events: Créer deux events ( Opened DB file et saved DB file) avec comme propriété Equals et le chemin\nom de votre db locale Onglet Conditions Créer un File Exist, avec en propriété le nom de votre copie distante Onglet Actions: Créer dans l'ordre: change trigger on/off state, rien en trigger name, et OFF en new state (pour éviter les boucle infinie,cf https://keepass.info/help/kb/trigger_examples.html#infiniteloop) syncronize active db with a file/URL, et renseignez le chemin\nom de la copie distante change trigger on/off state, rien en trigger name, et ON en new state Cliquer sur finish. C'est tout, c'est simple et efficace ! 0 Citer
Ragnarou Posté(e) le 28 août 2020 Posté(e) le 28 août 2020 Super tutoriel, merci beaucoup @d4RSH 👍 Pour ma part, je rencontre des problèmes au moment de vérifier l'accès au dossier via Webdav par Windows (j'utilise le reverse proxy). Installation du paquet Webdav Server, en désactivant http, en activant https et en laissant son port par défaut (5006) : ✔️ Création du groupe webdav user, de l'utilisateur Keepass_user, du dossier partagé Webdav et du sous-dossier Keepas : ✔️. J'arrive à accéder au dossier Webdav/Keepas via le FileStation de DSM en me connectant comme KeePass_user et à glisser/déposer des fichiers, donc je n'ai pas de problèmes de droits d'accès ou de permission. Comme je suis en reverse proxy, je ne change rien à la configuration de ma box, qui redirige les ports 80 et 443 vers l'adresse IP de mon NAS : ✔️ J'ai créé un reverse proxy pour mon Webdav : ✔️ Mon certificat Let's Encrypt a été mis à jour : ✔️ Le port 443 est bien autorisé dans le pare-feu du NAS : ✔️ J'arrive à accéder (en local ou depuis l'extérieur) à mes autres reverse proxy avec une adresse de la forme suivante : https://dsaudio.XXXX.synology.me:443 : ✔️ Le problème que je rencontre est, lorsque j'essaye de connecter un lecteur réseau Windows, j'ai un des deux messages d'erreurs ci-dessous : Je me suis dit que ça pouvait être un bug de Windows, comme j'ai soit le 1er, soit le 2ème message d'erreur. Donc j'ai essayé d'ouvrir directement la bdd dans KeePass via 'Open url', et j'ai le message d'erreur ci-dessous : Je précise que j'ai essayé pas mal de variantes dans les adresses pour me connecter : avec et sans le numéro de port 443, remplacer https:// par \\, sans résultat. Par ailleurs, je suis sûr du mot de passe du compte KeePass_user puisque j'arrive à me connecter à DSM avec le compte KeePass_user. Quelqu'un aurait une idée ? 0 Citer
oracle7 Posté(e) le 28 août 2020 Posté(e) le 28 août 2020 @Ragnarou Bonjour, Pour te connecter au lecteur réseau en local, plutôt que d'utiliser https://web.dav.xxxxx.synology.me/Webdav/Keepass/...., .... essaies avec : \\NomNetBiosDuNAS\volume1\WebDav\Keepass\.... ou \\@IPduNAS\volume1\WebDav\Keepass\... Conformément à l'exemple donné dans la 1ère copie d'écran. Par ailleurs et ce sera juste une aparté : Je vois que tu as définis déjà 7 sous-domaines pour ton certificat. Je me permet de de prévenir que la chaine "Autre nom de l'objet" qui contient la liste des sous-domaines pour lesquels le certificat est défini, est limitée à 255 caractères par Synology. Donc si tu envisages d'ajouter d'autres sous-domaines à ton certificat, cela va pas le faire car avec l'existant, tu vas dépasser certainement cette limite imposée. En conséquence, si j'étais toi je regarderai à prendre un nom de domaine personnalisé et à créer un certificat "wilcard" LetsEncrypt pour ce domaine soit "*.tonDomaine.tld" par ex. Conséquence aussi cela te fera du coup reprendre tes définitions de redirections dans le reverse proxy mais au final tu verras que ce sera plus souple pour toi à l'usage. Le jeu en vaut la chandelle ... Maintenant ce n'est que mon avis 😀 Cordialement oracle7😉 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.