Ziel: Vorhalten einer zentral auf dem NAS abgelegten KeePass Datenbank für den Zugriff von PC und mobilen Geräten.
Was du hast: Du hast bereits erste Erfahrungen mit KeePassXC (oder einem anderen KeePass) gemacht, es installiert und eingerichtet. Optional hast du bereits eine KeePass-Datenbank angelegt. Zusätzlich hast du ein Android Smartphone, auf welchem du ebenfalls erste Erfahrungen mit der App KeePass2Android gemacht hast. Außerdem hast du ein Synology NAS und kennst dich mit dem Anlegen von Freigegebenen Ordnern aus sowie mit der Rechteverwaltung.
Was du brauchst: Eine funktionierende Netzwerkverbindung im LAN / WLAN, Zugriff auf den freigegebenen Ordner via HTTP(S), welchen du mit dem Dateiexplorer erreichen kannst. Das Paket WebDAV aus dem Paket Zentrum. Einen funktionierenden Zugriff über Dateidienste (SMB, WebDAV, usw.) auf das NAS. Auf den mobilen Android Geräten ist KeePass2Android installiert und funktioniert. Dein mobiles Gerät hat funktionierenden Zugriff auf das NAS. Sorge also dafür, dass die nötigen Berechtigungen gesetzt sind, die Firewall des NAS den Zugriff erlaubt und du die passenden Anmeldedaten vorliegen hast. Wenn du dir hier noch unsicher bist, dann hilft ein Blick in diese beiden Anleitungen: Erste Schritte mit dem Passwortmanager KeePassXC & Erste Schritte mit KeePass2Android.
Was du willst: Du möchtest auf deinem Synology NAS eine zentrale Passwortdatenbank vorhalten, damit alle erlaubten Geräte auf diese zugreifen können. Alternativ kannst du auch mit mehreren Datenbanken arbeiten, etwa eine für die mobilen Geräte und eine für die lokalen stationären Geräte (Desktop PC). Die Nutzung einer zentral vorliegenden Passwortdatenbank bietet diverse Vorteile: Neu hinzugefügte Einträge sind dann von allen gewünschten Geräten erreichbar, es entfällt die Mehrarbeit durch parallel zu pflegende Datenbanken auf den einzelnen Geräten. Außerdem sind auf den Geräten selber keine Passwortdatenbanken mehr gespeichert (erhöhte Sicherheit nach Diebstahl / Verlust).
Die Anleitung unterteilt sich in zwei grobe Arbeitsschritte: Zunächst die Vorarbeit auf dem Synology NAS. Danach die Einstellungen an den Geräten wie PC und mobile Android Geräte.
Ein kurzes Wort zu Konten, Rechten und Regeln auf dem NAS: Diese Anleitung geht davon aus, dass auf dem NAS mit den Benutzerkonten gearbeitet wird. Als Beispiel hat hier jedes genutzte Gerät bzw. jede*r Benutzer*in, welches auf Daten auf dem NAS zugreift, ein eigenes Benutzerkonto (z.B. PC, Smartphone, Tablet). Diesen Konten sind bestimmte Rechte zugeteilt, etwa die Erlaubnis Ordner und Dateien zu ändern und zu lesen, ausschließlich zu lesen oder aber gar keinen Zugriff zu gestatten. Solltest du dir hierbei unsicher sein, dann hilft vielleicht ein Blick in diese Anleitung: Synology Benutzer anlegen.
Die Firewall des NAS ist aktiv und es liegen Regeln vor, die den Zugriff auf das NAS für unbefugte Geräte verbietet. Grundsätzliches zur Synology Firewall findest du in dieser Anleitung: Synology Firewall einrichten.
Vorarbeiten auf dem Synology NAS
Du meldest dich mit Administrationskonto am NAS an. Es bietet sich an, einen eigenen Freigegebenen Ordner als Speicherort für die Passwortdatenbanken anzulegen, da du diesem dann ganz einfach die erforderlichen Zugriffsregeln für die Benutzer*innen vergeben kannst. Außerdem kannst du für diese Freigabe ganz eigene Backup-Einstellungen nutzen. Bedenke dabei: Diese neue Freigabe enthält die von dir genutzten .kdbx Passwortdatenbanken! Es empfiehlt sich daher, besonderes Augenmerk auf Datensicherheit und -schutz zu legen. Alternativ können erfahrene Nutzer*innen, die sich bereits gut genug mit der Benutzerverwaltung und den Ordnerrechten auskennen, natürlich auch einen neuen Ordner auf einer bestehenden Freigabe anlegen und dann die Benutzerrechte anpassen. Doch für diese fortgeschritteneren Anwender*innen ist diese Anleitung weniger gedacht…
1. Du erstellst einen neuen Freigegebenen Ordner, benennst diesen aussagekräftig und gestattest den ausgewählten Benutzer*innen den Zugriff. Ob du hier den rein lesenden Zugriff gestattest oder auch einen schreibenden erlaubst, kommt auf deine Ziele an: Wenn du auch vom mobilen Gerät aus neue Einträge setzen willst, dann muss Schreiben und Lesen erlaubt werden. Möchtest du dagegen die vorhandenen Einträge lediglich nutzen, dann erlaubst du auch nur das Lesen (die Verwaltung der Passwörter und das Neuanlegen erfolgt dann vielleicht nur vom Desktop PC aus, welcher die nötigen Schreib- / Leseberechtigungen erhält).
Hier einmal beispielhaft die von mir genutzten Einträge am Synology NAS: Zuerst die neue Freigabe erstellen (Systemsteuerung > Freigegebener Ordner > Erstellen). Dann die neue Freigabe benennen (1), optional eine Beschreibung eintragen (2), Speicherort bestimmen (3) und den Papierkorb anlegen, falls versehentlich mal etwas gelöscht wird. Den Zugriff auf den Papierkorb reserviere ich hierbei für das Administrationskonto (4).
Mit „Weiter“ fortfahren. Die neue Freigabe soll auf dem NAS verschlüsselt angelegt werden. Das bietet zusätzlich zu der durch KeePass standardmäßig verschlüsselten Passwortdatenbank Sicherheit. Anschließend mit „Weiter“ fortfahren.
Dann gibst du ein Passwort für die Verschlüsselung des freigegebenen Ordners an. Dies hat nichts mit dem Masterpasswort der .kdbx Datenbank zu tun. Mit diesem hier gewählten Passwort erlaubt dir dein NAS das Einhängen der Freigabe nach Neustart. Zusätzlich wird eine Schlüsseldatei heruntergeladen, mit welcher du ebenfalls die Freigabe entschlüsseln kannst. Bewahre diese also gut und sicher auf!
Nach dem Fortfahren mit „Weiter“ aktivierst du die Prüfung zur Dateiintegrität, sofern du das BTRFS Dateisystem nutzt.
Schließlich setzt du die von dir gewünschten Berechtigungen für die neue Freigabe:
Nachdem du die Eingaben bestätigt und damit abgespeichert hast, erstellst du innerhalb des eben erstellten Freigegebenen Ordners einen neuen Ordner und benennst diesen, etwa „KeePass_test“. Kontrolliere unter den Eigenschaften des Ordners, ob die Zugriffsrechte passend eingerichtet wurden.
2. Installieren des WebDAV Servers
Damit du von den mobilen Android Geräten auf die Passwortdatenbank zugreifen kannst, benötigst du das Paket WebDAV Server aus dem Synology Paket Zentrum. Installiere dir dieses auf deinem NAS.
Du musst dann den gewünschten Benutzer*innen die Nutzung der Anwendung „WebDAV Server“ erlauben. Diese Einstellungen findest du unter Systemeinstellungen > Benutzer und Gruppen. Hier wählst du den gewünschten Namen aus, gehst auf „Bearbeiten“ und lässt unter dem Reiter „Anwendungen“ den WebDAV Server zu.
3. Firewall Regeln einrichten
Jetzt musst du den Geräten, mit denen ein Zugriff auf die eben angelegte Freigabe erfolgen soll, in der Firewall des Synology NAS die Erlaubnis geben. Wenn du die Firewall nicht aktiviert hast, entfällt dieser Schritt. Ich empfehle dir aber, dich mit der Firewallfunktion des NAS vertraut zu machen und diese zu nutzen. In der Firewall muss für die Geräte (entweder pauschal „Alle“, nicht empfehlenswert, oder aber nach ihrer zugeteilten IP Adresse) der Zugriff auf Dienste erlaubt werden, damit du aus dem LAN oder WLAN Zugriff auf die Passwortdatenbanken bekommst. Mobile Geräte unter Android nutzen KeePass2Android. Hier erfolgt der Zugriff über das eben installierte WebDAV Paket über Port 5006 (WebDAV SSL).
Vom lokalen PC aus nutzt du dagegen KeePassXC, welches Zugriff auf den NAS Ordner, in welchem die Datenbank liegt, benötigt. Hier kommt es also auf den Dateidienst an, den du nutzt (SMB, NFS, FTP, WebDAV usw.). Eine Übersicht über die Dateidienste und die zugehörenden Ports findest du hier: https://kb.synology.com/de-de/DSM/tutorial/What_network_ports_are_used_by_Synology_services. Du richtest also dementsprechend eine Erlaubnis für die IP Adresse des PC auf den gewünschten Port ein.
Wenn du an dieser Stelle nicht weiterkommst, weil deine Geräte keine reservierten oder festen IP Adressen bekommen, dann kannst du pauschal „Allen“ den Zugriff auf die benötigten Ports erlauben. Nach meiner persönlichen Erfahrung besser wäre aber der Gebrauch fester oder reservierter IP-Adressen für die Geräte im heimischen LAN / WLAN. Wie du das mit einem Fritzbox Router einrichtest, erklärt dir diese Anleitung: Fritzbox – feste IP-Adressen zuweisen.
4. Kopieren der vorhandenen KeePass Datenbank auf das NAS
Wenn du bereits eine bestehende KeePass Datenbank hast, dann kopiere diese jetzt in den frisch angelegten Ordner, im Beispiel „KeePass_test“ auf der Freigabe „KeePassdatenbanken“, wie oben beschrieben. Vergewissere dich erneut unter den „Eigenschaften“ der Datei, dass die Zugriffsrechte stimmen.
Damit sind die Vorarbeiten auf dem Synology NAS abgeschlossen.
Arbeiten auf dem PC und den mobilen Android Geräten
Um nun auf die Datenbank zuzugreifen, ist noch ein wenig Nacharbeit an den Clients erforderlich.
Am Android Gerät öffnest du dafür die App KeePass2Android. Eine WLAN Verbindung besteht, das Gerät befindet sich im eigenen WLAN. In der App gehst du nun auf die Schaltfläche „Datenbank wechseln“, um den neuen Speicherort anzuwählen. Es öffnet sich eine neue Ansicht. Hier bestätigst du erneut mit „Datei öffnen…“. Dann gibst du an, welche Art der Datenverbindung genutzt wird, hier WebDAV (HTTPS).
Dann musst du den Speicherort (1) sowie die Zugangsdaten (2) für das Gerät bzw. die zugreifende Benutzer*in eintragen: Im Beispiel dieser Anleitung befinden sich die Passwortdatenbanken auf dem NAS unter der Freigabe „KeePassdatenbanken“ im Ordner „KeePass_test“. Du gibst also in der Adresszeile an „https://IP.deines.NAS.Systems:5006/KeePassdatenbanken/KeePass_test“. Dies sollte dich direkt zu dem richtigen Ordner bringen. Natürlich musst du auch die korrekten Anmeldedaten eintragen (Benutzername / Passwort).
Wie du im nächsten Bild siehst, hat es funktioniert: Der Zugriff auf den richtigen Ordner ist möglich, die Datenbank kann genutzt werden. Gehe in den Ordner und öffne die gewünschte .kdbx-Datei (die Passwortdatenbank). Fortan öffnet KeePass2Android direkt diese Datenbank.
Am PC unter Windows oder auch Linux erfolgt der Zugriff ganz ähnlich: Öffne das Programm KeePassXC. Dein PC ist im LAN, eine Verbindung zum NAS ist generell möglich. Navigiere zum Speicherort deiner .kdbx-Datei auf dem NAS. Sollte noch keine bestehende Verbindung über die Dateidienste eingerichtet sein, dann öffne die Datei z.B. unter Ubuntu: Zuerst gehst du im Programm KeePassXC auf die Schaltfläche zum Öffnen einer anderen Datenbank.
Dann findest du unter „Andere Orte“ (1) die Eingabemöglichkeit, um dich mit deinem NAS zu verbinden (2). Hier musst du die Serveradresse und den Pfad zur Freigabe „KeePassdatenbanken“ angeben mit
„smb://IP.deines.NAS.Systems/KeePassdatenbanken/“ für den Dateidienst SMB oder „dav://IP.deines.NAS.Systems:5006/“ für den Dateidienst WebDAV.
Danach wirst du nach den Anmeldedaten gefragt, die du hier eingibst:
Nach Eingabe deiner Anmeldedaten solltest du Zugriff auf den Ordner mit den enthaltenen Datenbanken haben.
Jetzt navigierst du zur gewünschten .kdbx-Datei (deine Passwortdatenbank) und öffnest diese. Jetzt gibst du das zuvor gewählte Hauptpasswort ein und hast Zugriff auf deine Passwortsammlung.
Damit wäre die Einrichtung abgeschlossen. Du kannst jetzt im eigenen LAN / WLAN von deinen Android Geräten wie auch von deinem Windows oder Linux PC / Notebook auf deine Passwortdatenbank auf dem Synology NAS zugreifen.
Selbstverständlich gelingt dies auch über einen VPN Zugang. Wenn du dich außerhalb deines Heimnetzes befindest, aber Zugriff auf deine Passwortdatenbank benötigst, dann kannst du dich über einen VPN Tunnel in dein Heimnetzwerk einwählen und wie oben beschrieben sicher und geschützt auf deine Passwortsammlung zugreifen.
Damit wäre diese kleine Anleitungsreihe zum Thema KeePassXC und KeePass2Android abgeschlossen. Sollten Fragen oder Probleme auftauchen, dann melde dich gerne im Forum unter forum.heimnetz.de!
Viel Spaß und Erfolg beim Umsetzen!
---
Vielen Dank an den User the other für diese Anleitung!