Limitation Acc

[Filarelenze]

Bonsoir,

Je souhaite faire réaliser la maintenance de mon système par un tiers.

Il est nécessaire pour cela qu'il ne puisse avoir accès qu'à certaines fonctions du panneau de configuration en excluant et en particulier à tout ce qui touche au partage des fichiers.

Possible certainement (ravi de mes 2 Syno 212j et 214 play) mais comment.

Merci

[gaetan.cambier]

Malheureusement, à mon avis, ce n'est pas possible

Meme si ca serait interessant le concept, p-e une demande à synology à faire

[Fravadona]

Quelles operations de maintenance ?

[domlas]

Si tu parles de donner le droit d'accès au DSM à une autre personne un peu comme si tu lui donnais l'identifiant admin et le mot de passe qui va avec je crois qu'il aura du coup tous les pouvoirs, comme toi actuellement, en gros il sera administrateur comme toi.

Le premier point important est surtout de savoir quel niveau de confiance tu auras vis à vis de cette tierce personne.

Même si tu lui crées un compte personnalisé (son identifiant propre avec son mot de passe), le fait de basculer ce compte dans le groupe "administrators" lui donnera tous les pouvoirs d'un administrateur, exactement comme toi. Et c'est logique sinon à quoi pourrait-il servir si il n'a pas les moyens d'effectuer les paramétrages voulus en tes lieux et places ?

A ma connaissance il n'y a pas moyen de limiter les pouvoirs d'un locataire du groupe "administrators".

C'est pour cela qu'on recommande ici-même très fortement de se créer un nouveau compte administrator pour soi-même (avec son pass) et de sortir le "admin" du groupe administrators, voire même de le supprimer ensuite. Je ne sais plus si c'est possible.

Ensuite et à moins que ce soit réellement indispensable au cas où on aurait un besoin très sérieux de paramétrer le syno à distance, de bien s'assurer que les ports 5000 et 5001 sont bien fermés dans le routeur de la box. Les pirates connaissent (eux-aussi) l'existence de ces ports et commencent toujours par tenter leur accès et bien sûr en utilisant en premier lieu l'identif "admin". Ils ne sont pas complètement stupides.

Imagine 5 minutes un "copain" à qui tu aurais donné l'accès comme administrator et qui se dépêcherait de modifier le mot de passe que tu lui a donné ainsi que le tien, celui de ton propre compte d'administrator ?

Il ferait alors ce qu'il voudrait de ton syno et tu ne pourrais plus y entrer pour arrêter la casse. A part faire un bon reset...

[Filarelenze]

Merci à vous tous et en particulier à Domlas qui confirme mes craintes et observations.

C'est bien dommage.

Bonne journée

[Fravadona]

Donc ? Quelles operations devrait faire cette personne sur le NAS ?

[ZeroNas]

Bonjour,

Je ne connais pas exactement votre matériel mais sur le mien il est possible de crypter les données puis de démonter le dossier crypté avant intervention (rendant illisible les données à un tiers)

Peut être cela est envisageable dans votre cas.

Cordialement.

[gaetan.cambier]

Même si le dossier est crypter, un admin peut le supprimer. C'est pas sûre comme solution

[Fravadona]

Il y existe des solutions en fonction des besoins : Si par exemple c'est l'ajout/suppression d'utilisateurs (hors mis l'admin/root) alors on peut faire en sorte qu'un utilisateur lamda ai ce droit la.

Je me repete un peu: quelles sont les operations maintenance que devra faire cette personne ?

[gaetan.cambier]

Ça m'intéresse si c'est possible, tu fait ça comment ? Par exemple qu'un user puisse faire des modifier sur les user sauf sur l'administrateur

[Fravadona]

Le principe est d'utiliser l'annuaire LDAP pour stocker les utilisateurs "modifiables" par d'autres utilisateurs.

[domlas]

Le cryptage n'a rien à voir dans ce cas, ce n'est pas une panacée universelle. Le cryptage ne sert qu'à masquer les données sensibles des possibilités de visualisation. Ca n'empêche nullement l'administrateur de supprimer un fichier crypté. Ca ne l'empêchera pas plus d'ajouter ou de modifier des fichiers comme par exemple injecter un programme pour organiser du deni de service.

Pour revenir un peu su la demande de notre ami, bien qu'on ne sait toujours pas précisément ce qu'il voudrait autoriser et ce qu'il faudrait interdire à ce "sous administrateur" et surtout pour quelles raisons.

Par contre je connais un cas qui ressemblerait à ce que cherche notre ami. Sur Joomla (gestionnaire de sites internet) on peut créer un "super-administrateur" qui dispose de tous les droits sur tous les paramètres du site joomla. Il peut aussi créer (lui seul le peut) des "administrateurs" (simples) qui ne peuvent pas modifier certains paramètres très sensibles, comme par exemple désactiver un autre administrateur , lui modifier ses privilèges, ou modifier les MdP.

Sur Joomla c'est nécessaire parce que le suivi sérieux d'un site internet demande beaucoup d'actions de mises à jour des informations données aux visiteurs et de ce fait rend logique l'intervention de plusieurs personnes.

Alors que pour un syno, une fois ce dernier configuré correctement, on a très peu de raisons de revenir sans cesse le reparamétrer, donc un seul administrateur est largement suffisant.

Par exemple pour ma part, mon syno fonctionne depuis plus de 5 ans. Au début, les premières semaines j'y intervenais souvent afin de bien ajuster les réglages. Mais par la suite, depuis au moins 4 ans si je ne rentre dans le DSM qu'une fois par trimestre, c'est bien le bout du monde.

[ZeroNas]

Le principe est d'utiliser l'annuaire LDAP pour stocker les utilisateurs "modifiables" par d'autres utilisateurs.

J'ai essayé de mettre cela en place mais je n'ai pas réussi (via l'utilisation des Directory operators). Sinon il faut se connecter en root ...

Serait-il possible d'avoir plus d'explications ? Merci d'avance.

[domlas]

As tu téléchargé la notice complète et très détaillée pour ton syno sur le site synology.fr ?

[Fravadona]

Je n'utilise pas le LDAP sur mon Syno mais j'utilise OpenLDAP au boulot et j'édite nos annuaires avec Apache Directory Studio ou avec des utilitaires que j'ai développé pour les taches courantes.

J'ai créé des groupes spéciaux et défini leurs droits directement dans les slapd.conf; ca prend du temps a déboguer

Modifié le 18 septembre 2014 par Fravadona

[Filarelenze]

Bonjour,

Vos réponses et le débat ouvert justifient amplement mes interrogations.

En effet étant un novice très loin des "opendlap, joomla, etc... je souhaite confier certaines taches à un professionnel qui pourrait mettre en place par exemple les « services web », le « service annuaire », régler les problèmes d’accès sécurises etc…

Je dispose d’un 214 Play et d’un 212j (pour sauvegarde).

Merci de vous décarcasser autant pour un non inité qui ne pourra jamais vous rendre la pareille

[Fravadona]

Ah, alors c'est vraiment un administrateur système dont tu as besoin et non d'un utilisateur avec des droits d'admin pour certaines applications.

Il lui faudra le mot de passe root pour pouvoir bosser, donc il pourra faire ce qu'il veut sur le NAS.

Modifié le 18 septembre 2014 par Fravadona

[Filarelenze]

Graciè Fravadona