.Shad.

L'utilisateur "admin" appartient au groupe administrators qui donne par défaut tous les droits sur tous les dossiers. Mais il appartient aussi au groupe "user". Si tu mets des interdictions à ce groupe, l'utilisateur admin sera bloqué sur ce même dossier, car les interdictions prennent le pas sur tout le reste au sein des groups d'un utilisateur. Ca peut être une explication au problème que tu as rencontré.

Les jours gagnés correspondent au nombre de jours où tu as eu le contenu le plus aimé.

@Ricola62 Généralement, dans ce genre de cas, les créateurs d'image intègrent effectivement un conteneur nginx en frontend dans leur image. Ce conteneur fait office de proxy inversé au sein de l'application, ainsi la personne qui utilise un proxy inversé en amont de ton application redirigera toutes ses requêtes vers un seul et unique port, par exemple 80. Avoir un proxy inversé dans ton application évite à l'utilisateur qui souhaite utiliser son proxy inversé de rediriger vers des ports différents suivant les blocs location. Tu peux t'inspirer de ce que fait Bitwarden (officiel), c'est exactement ce qu'ils utilisent : Au sein de leur application : server { listen 8080 default_server; listen [::]:8080 default_server; server_name bitwarden.xxx.ovh; include /etc/nginx/security-headers.conf; set_real_ip_from 10.0.0.0/8; set_real_ip_from 172.16.0.0/12; set_real_ip_from 192.168.0.0/16; set_real_ip_from fd00:abcd::/32; real_ip_header X-Forwarded-For; real_ip_recursive on; location / { proxy_pass http://web:5000/; include /etc/nginx/security-headers.conf; add_header Content-Security-Policy "default-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https://haveibeenpwned.com https://www.gravatar.com; child-src 'self' https://*.duosecurity.com https://*.duofederal.com; frame-src 'self' https://*.duosecurity.com https://*.duofederal.com; connect-src 'self' wss://bitwarden.aelnas.ovh https://api.pwnedpasswords.com https://twofactorauth.org; object-src 'self' blob:;"; add_header X-Frame-Options SAMEORIGIN; add_header X-Robots-Tag "noindex, nofollow"; } location /alive { return 200 'alive'; add_header Content-Type text/plain; } location = /app-id.json { proxy_pass http://web:5000/app-id.json; include /etc/nginx/security-headers.conf; proxy_hide_header Content-Type; add_header Content-Type $fido_content_type; } location = /.well-known/assetlinks.json { proxy_pass http://web:5000/assetlinks.json; include /etc/nginx/security-headers.conf; proxy_hide_header Content-Type; add_header Content-Type application/json; } location = /duo-connector.html { proxy_pass http://web:5000/duo-connector.html; } location = /u2f-connector.html { proxy_pass http://web:5000/u2f-connector.html; } location = /webauthn-connector.html { proxy_pass http://web:5000/webauthn-connector.html; } location = /webauthn-fallback-connector.html { proxy_pass http://web:5000/webauthn-fallback-connector.html; } location = /sso-connector.html { proxy_pass http://web:5000/sso-connector.html; } location /attachments/ { proxy_pass http://attachments:5000/; } location /api/ { proxy_pass http://api:5000/; } location /icons/ { proxy_pass http://icons:5000/; } location /notifications/ { proxy_pass http://notifications:5000/; } location /notifications/hub { proxy_pass http://notifications:5000/hub; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $http_connection; } location /events/ { proxy_pass http://events:5000/; } location /sso { proxy_pass http://sso:5000; include /etc/nginx/security-headers.conf; add_header X-Frame-Options SAMEORIGIN; } location /identity { proxy_pass http://identity:5000; include /etc/nginx/security-headers.conf; add_header X-Frame-Options SAMEORIGIN; } location /admin { proxy_pass http://admin:5000; include /etc/nginx/security-headers.conf; add_header X-Frame-Options SAMEORIGIN; } location /portal { proxy_pass http://portal:5000; include /etc/nginx/security-headers.conf; add_header X-Frame-Options SAMEORIGIN; } } Nginx écoute sur le port 8080 et renvoie vers différents conteneurs composants l'application suivant le path demandé. Dans mon proxy inversé sur l'hôte : server { listen 443 ssl; listen [::]:443 ssl; server_name bitwarden.*; include /config/nginx/ssl.conf; client_max_body_size 128M; # enable for ldap auth, fill in ldap details in ldap.conf #include /config/nginx/ldap.conf; # enable for Authelia include /config/nginx/authelia-server.conf; location / { # enable the next two lines for http auth #auth_basic "Restricted"; #auth_basic_user_file /config/nginx/.htpasswd; # enable the next two lines for ldap auth #auth_request /auth; #error_page 401 =200 /ldaplogin; # enable for Authelia include /config/nginx/authelia-location.conf; include /config/nginx/proxy.conf; include /config/nginx/resolver.conf; set $upstream_app bitwarden-nginx; set $upstream_port 8080; set $upstream_proto http; proxy_pass $upstream_proto://$upstream_app:$upstream_port; } Toutes mes requêtes sont redirigées vers le conteneur nginx sur le port d'écoute. Pas de double chiffrement SSL. Je ne sais pas si ça t'aide...

@Geoff1330 Tu n'as pas effacé un message concernant la résolution DNS ? je l'ai vu hier soir mais j'étais déjà couché, je comptais y répondre ce matin.

Bienvenue parmi nous !

@pluton212+ 2014 😃

Tu le recycles en NAS de sauvegarde. Ça conviendra parfaitement.

Bienvenue parmi nous !

-e authentication_type=Web \ Enlève la majuscule à Web. La valeur n'est pas prise en compte, du coup tu es en authentification 2FA. Ca n'explique pas l'erreur cela dit.

Tu peux soit supprimer la ligne --network soit créer le réseau en amont : docker network create containers

@Ricola62 Dis-moi si je me trompe mais tu ne demandes pas comment mettre en place un proxy inversé, mais plutôt comment sécuriser l'accès à ton application. Quitte à devoir utiliser un proxy interne dans ton application, c'est ça ?

Version complète ou abrégée des arguments, ça revient au même, par défaut les versions longues sont toujours implémentées, les versions abrégées pas toujours. Non car c'est propre à l'image, Linuxserver l'implémente automatiquement dans ses images, d'autres s'en inspirent maintenant, mais si la documentation ne le précise pas alors non. Ce chemin n'existe pas dans DSM. Si tu as un dossier iCloud et sous-dossier config dans le dossier partagé docker dans File Station, le chemin c'est /volume1/docker/iCloud/config J'éviterais d'utiliser le gid 101, qui va attribuer les fichiers téléchargés au groupe administrators du NAS. Je ferais quelque chose comme ça : docker create \ --name icloudpd \ --network containers \ --restart unless-stopped \ -e user=toto \ -e user_id=1026 \ -e group=users \ -e group_id=100 \ -e apple_id=thisisnotmy@email.com \ -e authentication_type=Web \ -e folder_structure={:%Y} \ -e auto_delete=true \ -e synchronisation_interval=86400 \ -e TZ=Europe/Paris \ -v /volume1/docker/iCloud/config:/config \ -v /volume1/photo/test:/photo/test \ boredazfcuk/icloudpd Puis : docker start icloudpd Je ne sais pas si tu as vu la doc, mais il ne faut plus définir le mot de passe dans le script, c'est une opération ultérieure une fois le conteneur en route : https://github.com/boredazfcuk/docker-icloudpd#configuring-a-password Il y a aussi le cookie d'authentification 2FA à générer : https://github.com/boredazfcuk/docker-icloudpd#two-factor-authentication si tu bascules sur la 2FA un jour. Ce n'est pas la meilleure documentation que j'ai pu voir. 😄

Pardon, trompé de terme, je voulais dire dossier monté. Partagé si, évidemment. 😉

Bienvenue parmi nous !

Je ne sais pas si tu fais du double NAT (Box -> NAT -> Routeur -> NAT -> NAS), mais d'expérience L2TP n'aime pas trop trop ce type de configuration. Si ton routeur est dans la DMZ de ta box c'est plus facile pour L2TP.

Salut, bienvenue parmi nous. 🙂

Bienvenue parmi nous, très bonne machine, et durable. 🙂

Bienvenue sur ce forum !

J'ai mis en place L2TP, j'arrive à me connecter à distance et en local (pas grand intérêt en local) avec Android et Windows. Il faudrait peut-être voir avec quelqu'un qui a un Mac. Cependant j'ai trouvé une option qui débloque certaines personnes qui n'arrivent pas à se connecter depuis le passage à DSM 7 : cd /var/packages/VPNCenter/target/etc/raddb/modules nano mschap_ad Et tu ajoutes --allow-mschapv2 entre --request-nt-key et --username=%{%{Stripped-User-Name}:-%{User-Name:-None}}, ce qui donne : mschap mschap_ad { ntlm_auth = "/usr/local/bin/ntlm_auth --request-nt-key --allow-mschapv2 --username=%{%{Stripped-User-Name}:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{> with_ntdomain_hack = yes }

C'est pour ça que je t'ai dit que je ne pense pas que tu puisses. Car DSM n'indexe pas les dossiers partagés. En revanche tu peux utiliser je pense le paquet Drive Sharesync pour synchroniser tes photos entre le NAS et la VM. Mais si tu souhaites garder les photos sur ton NAS dans tous les cas tu auras besoin du double d'espace.

Je regarderai ça avec attention, merci.

Je compte acheter une Yamaha YAS-209, elle me fait de l'oeil !

Je vais tester du week-end de mettre en place L2TP sur mon NAS pour le test. Modulo le fait que je n'ai pas de client Apple à disposition.

Quelques tests à effectuer : Transférer le port 1701 également depuis la box vers le NAS (je sais bien que ce n'est normalement pas nécessaire, mais vu le nombre de retours depuis DSM 7 sur des problèmes avec L2TP, il faut essayer d'autres choses). Est-ce que tu peux essayer de te connecter sans définir de clé partagée ?

Je confirme la remarque de @oracle7, je ne vois pas ce que vient faire ici le port 4000. Pour synchroniser à distance, il faut rediriger le port de synchro (55555 par défaut) de la box vers le NAS. Et pour te passer des trackers, il faut ajouter l'IP publique ou un nom de domaine pour ton NAS : https://help.resilio.com/hc/en-us/articles/205458125-Folder-Preferences Donc ajouter par exemple sur un smartphone : IP_publique:55555 monnas.ndd.tld:55555