Ziel: Der Anmeldeprozess am Synology NAS soll durch einen Hardwarekey ergänzt werden.
Einerseits kann dieser als weiterer Faktor in einer 2-Faktor-Authentifizierung (2FA) genutzt werden, andererseits können sich Benutzer ohne aktivierte 2FA ohne Eingabe ihres Passwortes anmelden.
Was du hast: Ein Synology NAS, ein installiertes DSM ab Version 7 und natürlich einen Hardwarekey.
Hardwarekeys sind kleine Geräte, die oft einem USB-Stick ähneln. Bekannte Hersteller sind etwa yubikey, Kensington, Google, Thetis und andere.
Für den ersten Teil der Anleitung benötigst du auch eine aktivierte 2-Faktor-Anmeldung für den jeweiligen Benutzer. Wie du dies einrichtest erklärt dir diese Anleitung Synology 2-Faktor-Authentifizierung (2FA) einrichten.
Was du willst: Du möchtest deine Anmeldung am NAS Desktop mit einem Hardwarekey ergänzen. Entweder um die Sicherheit weiter zu verbessern, indem du den Hardwarekey als zweiten Anmeldefaktor nutzt (erster Teil dieser Anleitung), oder auch um den Komfort bei der Anmeldung zu verbessern, indem du dich fortan ohne Eingabe deines Passwortes am DSM einloggen kannst (zweiter Teil dieser Anleitung).
Du meldest dich an deinem NAS an mit Benutzernamen, Passwort (und falls bereits eingerichtet mit deinem 2. Faktor).
Teil 1: Einrichten des Hardwarekeys als zusätzlicher zweiter Faktor bei aktiver 2FA
1. Auf dem DSM Desktop klickst du auf die kleine Figur am oberen rechten Rand der Ansicht:
2. Du wählst in der Auswahl „Persönlich“ aus. Es öffnet sich das folgende Fenster:
Der blaue Haken vor „2-Faktor-Authentifizierung“ zeigt an, dass selbige bereits aktiviert ist für den angemeldeten Benutzer TESTadministrator.
3. Ein Klicken auf die Schaltfläche „2-Faktor-Authentifizierung“ öffnet dann ein neues Fenster:
In dieser Ansicht wechselst du auf „Hardware-Sicherheitsschlüssel“ und klickst dann auf „Hinzufügen“.
4. Hier wählst du den Schlüsseltypen aus. Die Auswahl ist eher bescheiden...aber es reicht:
5. Mit „Weiter“ kommst du zum nächsten Schritt. Dein NAS fragt dich nach einem Namen für den Hardwarekey. Du kannst diesen nach eigenen Vorstellungen vergeben.
6. Zuletzt sollte der Hardwarekey nun auch in der Auflistung erscheinen:
Das war alles. Du kannst dich nun versuchsweise ausloggen und mit dem eben eingerichteten Hardwarekey als alternativen 2. Faktor erneut anmelden.
Dazu gibst du deinen Benutzernamen an, gibst dein Passwort ein und gelangst auf diese Ansicht:
Soweit bekannt bei aktivierter 2FA. Jetzt wählst du aber einfach „Andere Anmeldemethode versuchen“ aus und die Log-In Maske ändert sich zu
Du wählst natürlich hier deinen Hardware-Sicherheitsschlüssel aus. Je nach Modell bestätigst du nach Aufforderungen einen Druckpunkt am Hardwarekey und du bist angemeldet.
Ab jetzt ist eine Anmeldung nur noch mit korrektem Benutzernamen, korrektem Passwort und als zweiten Faktor ENTWEDER korrektem Hardwarekey ODER Eingabe eines OTP-Codes möglich. Der Hardwarekey kann also auf Wunsch eine Nutzung einer Authenticator-App wie Authy oder dem Google Authenticator ersetzen.
Du kannst aber jederzeit wieder auf die altbekannte Methode für die Synology 2-Faktor Authentifizierung zurückgreifen!
Teil 2: Einrichten eines Hardwarekeys für die Kennwortlose Anmeldung am Synology NAS
1. Auf dem Desktop sind wir bereits angemeldet. Du klickst auf die kleine Figur am oberen rechten Rand der Ansicht:
2. Du wählst die Auswahl „Persönlich“ aus und bekommst diese Ansicht:
Wie du siehst ist für diesen Benutzer keine 2-Faktor-Anmeldung aktiviert! Du wählst im unteren Bereich des Fensters „Kennwortlose Anmeldung“ aus.
3. Im folgenden Fenster öffnet sich ein Assistent. Hier klickst du entgegen der Empfehlung auf „Hardware-Sicherheitsschlüssel“.
Dein NAS prüft im nächsten Schritt deine Identität und fragt nach deinem Passwort:
Als nächstes wählst du „USB-Schlüssel“ aus,
vergibst einen treffenden Namen für deinen Hardwarekey
und bestätigst mit „Fertig“. Damit hast du deinen Hardwarekey für die kennwortlose Anmeldung an deinem NAS eingerichtet und die Funktion auf deinem NAS aktiviert. Dies wird auch so bestätigt:
Zur Kontrolle meldest du dich jetzt vom DSM Desktop deines NAS ab.
Jetzt gibst du auf dem Anmeldebildschirm deines NAS deinen Benutzernamen ein. Auf der nächsten Seite wirst du weiterhin zunächst nach deinem Passwort gefragt. Mit einem Klick auf „Andere Anmeldemethoden“ bekommst du auch deinen Hardware-Sicherheitsschlüssel angezeigt. Mit einem Klick auf diese Fläche wirst du anschließend aufgefordert, deinen Hardwarekey zu benutzen. Je nach Modell bestätigst du nach Aufforderungen einen Druckpunkt am Hardwarekey und du bist angemeldet.
Damit hast du die kennwortlose Anmeldung für den Benutzer eingerichtet.
—
Vielen Dank an den User the other für diese Anleitung!