Double authentification (2FA) et accès application (accès technique)

[Fhalken]

Bonjour,

J'ai mis en place la la double authentification (vérification en 2 étapes).

Seulement, je voudrais pouvoir créer des utilisateurs "techniques" pour des accès directs restreints sur certains répertoires ou applications ou permettre à certains utilisateurs d'utiliser des applications ne proposant pas d'interface gérant la double authentifications. Exemples pratiques :

• Accès Windows à distance via l'explorateur Windows sur répertoires autorisés
• Accès via scanner pour dépôt automatique
• Accès WEBDAV depuis WordPress

N'existerait-il pas un moyen soit de dispenser certain user de passer par la 2FA, soit d'utiliser des super codes un peu à la mode Google qui le prévoit pour les "accès d'application" ?

Ou alors comment faites-vous pour associer 2FA et accès "techniques" ?

Merci d'avance

 

[.Shad.]

Tu peux choisir de n'appliquer la 2FA qu'aux utilisateurs administrateurs :

Si tu as défini au minimum fonctionnel les droits de tes utilisateurs techniques, pour moi ça ira très bien ainsi.

[Fhalken]

Bonjour .Shad.

Merci pour ta réponse.

Hélas, le NAS renferme des données sensibles et doit obligatoirement faire l'objet d'une 2FA pour les utilisateurs externes.

Je n'ai donc pas le choix que de cocher "tous les utilisateurs"

[.Shad.]

Que je sache, ce n'est pas possible, et c'est complètement idiot, on devrait pouvoir définir la 2FA selon l'utilisateur ou au moins un groupe d'utilisateurs.
Est-ce que tu as essayé de voir si tu avais une erreur si tu tentais d'écrire dans un dossier avec un utilisateur nécessitant normalement la 2FA via ton scanner par exemple ?

Sinon tu peux passer par un vDSM intermédiaire, le scanner par exemple enverrait ses fichiers dans vDSM, et tu mettrais en place une synchro entre le NAS et vDSM (sous réserve que ton NAS soit compatible, tu ne t'es pas présenté donc on ne connait pas ton matériel).
 

[Fhalken]

Heu, oui, désolé.

J'ai un DS920+ et un vieux DS214+. Excellente idée la synchro au moins pour le Scan et WEBDAV depuis le DS214+, par contre pour ce qui de l'Explorateur Windows si je comprends bien, je peux m’asseoir dessus...

"vDSM" qu'est-ce que c'est ?

 

[.Shad.]

un DSM virtuel, que tu fais tourner dans Virtual Machine Manager, disponible sur les modèles "+".

[Fhalken]

J'ai compris, Virtual DSM j'imagine.

Sinon, il suffit d'être patient : la fonction existera dans DSM7 :

 

Nos messages se sont croisés...

[.Shad.]

Ah bah impeccable ! 🙂 

[Mic13710]

Je ne comprends pas où est le problème. On peut très bien utiliser ou pas la 2FA pour chaque compte, qu'il soit administrateur ou simple utilisateur. Dans ce cas, il faut décocher les choix ci-dessus et on peut ainsi valider ou pas la 2FA individuellement.

Pour cela, il suffit de se connecter au compte concerné et d'aller dans le menu de l'utilisateur en haut à droite, Perso.

[.Shad.]

Ah ben tiens tu m'apprends quelques chose.
J'avais testé à l'époque, et le menu dans Utilisateurs -> Avancé m'a induit en erreur, je n'avais pas songé à regarder dans la partie "Perso".
D'où j'imagine le remaniement de l'interface pour DSM 7, et pour éviter d'avoir à paramétrer ça en se connectant avec chaque utilisateur ? 

Modifié le 8 janvier 2021 par .Shad.

[Mic13710]

Peut-être. C'est vrai que ce n'est pas évident au premier abord dans DSM6, la fiche de l'utilisateur ne reportant pas cette information. Je pense que c'est le sens de l'ajout dans DSM7 pour avoir la 2FA directement accessible dans les paramètres utilisateur et non pas via le menu Perso.

[Fhalken]

Bonjour Mic13710,

En fait cette option est grisée dans le menu perso d'un simple user si la 2FA a été fixée par un admin :

[oracle7]

@Fhalken

Bonjour,

1. Il te faut d'abord aller dans "Utilisateur / Avancé" et désactiver la 2FA pour tous les utilisateurs (tu peux éventuellement la laisser uniquement pour le groupe administrateurs).
2. En suite seulement tu vas te connecter avec le compte utilisateur de ton choix à DSM et tu peux alors fixer la 2FA pour cet utilisateur dans le popup "Perso" en haut à droite du bureau.

Cordialement

oracle7😉