This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

d4RSH

[TUTO] Acceder, via les applications KeePass, à une BDD Keepass stockée sur votre NAS (WebDav)

Messages recommandés

Bonjour,

Je vous propose un petit tutoriel pour lier KeePass à votre NAS.

Objectif :

  • Paramétrer le NAS afin d'accéder à une base de donnée (BD) KeePass, stockée sur celui-ci (NAS)  et ce, de façon synchronisé entre tous vos appareils (Android KEEPASS, Windows ...).

 

Prérequis :

  • Être sur un compte administrateur,
  • Comprendre un minimum les différentes fonctions de votre NAS (Créer un certificat, créer un dossier partagé...),
  • Avoir pré-configuré votre NAS, notamment sur la sécurité du NAS, avec des tutoriels comme ceux de Fenrir ou Kawamashi (Pour le reverse proxy),
  • Avoir un NDD où avoir son DDNS (xxxxxxx.synology.me etc...),

Entre autre, ce tutoriel s'adresse à ceux qui ont finit les tutoriels cités précédemment, et qui peuvent accéder à leurs NAS en Reverse proxy ou via le ndd.fr:5001

 

 

Réglage du NAS : (avec un Compte administrateur)

Principales étapes

·        Mise en place paquet WebDav

·        Création d’un groupe et compte user KeePass

·        Gestions des permissions lecture/écriture

·        Création dossier partagé pour BD Keepass

·        Réglage pare-feu NAS + BOX (pour reverse proxy OU Sans reverse proxy)

·        Vérification fonctionnement

 

 

  • Télécharger le paquet WebDav Server
    • Activer https  (laisser port 5006 par défaut)

1.thumb.png.4ab9db2819bcafe01d5bb5692773f220.png

 

  • Créer un Groupe utilisateur
    • Créer un nouveau groupe « WebDav User »,
    • Passer l’étape des permissions pour le moment,
    • Choisir « Webdav server » dans Applications,

2.png.37be58270807166b150667f1d27e5c49.png

3.thumb.png.8ad13b6372798a6ccd484fde719faa1f.png

 

  • Créer un nouvel utilisateur : « KPass »,
    • Assigner cet utilisateur au groupe « WebDav User » uniquement ("user" est pas défaut et inchangeable btw),
    • Passer le choix des permissions pour le moment,
    • Cocher « WebDav server » dans application,

4.png.264d8449d506b6c790efb001e1ead105.png

 

  • Aller dans dossier partagé
    • Créer un nouveau dossier partagé « WebDav »
    • Créer un sous-dossier « KeePass »
    • Éditer paramètres dossier partagé WebDav
      • Dans Permissions > Utilisateurs locaux à Donner la permissions à KPass uniquement
      • Dans Permissions > Groupes locaux à Donner permissions à Admin et WebdavUser
      • Dans Permissions > Utilisateur système interne à Donner la permission Uniquement à Anonymous FTP/Presto/Webdav …

5.thumb.png.36c4484316072b2b0d1977865fb72c9c.png

6.thumb.png.3cc3e99b0890a49d3bf733df980de171.png

7.thumb.png.0f50969e004c6f7d2b48b94d2739e4cf.png

 

  • Éditer les permissions de l’utilisateur KPass

8.thumb.png.841a69eff30ba9ff53118132db69c862.png

 

  • Éditer les permissions du groupe WebDav User

9.png.72fc508c8e9a90017819012a49bca404.png

 

  • (Sans reverse proxy) Réglage Pare-Feu du NAS
    • Ouvrir le port 5006 (restreindre les IP source à la France, si pas besoin d’accéder à la BD KPass à l’étranger)

 

  • (reverse proxy) Réglage Pare-Feu du NAS
    • Si votre reverse proxy passe déjà par le  port 443, alors pas besoin de changer quoi que ce soit dans le pare-feu NAS

10.png.c0382cf7c40bfbd7421ae042fab850e3.png

 

 

  • Créer/Re-créer un certificat lets encrypt
    • Ouvrir les ports 80 et 443 sur votre BOX + sur le NAS, le temps de la création du certificat)
    • Rentrer le nom de domaine, rentrer les sous-domaines éventuels  et vérifier qu’il couvre bien le WebDav
      • (reverse proxy) Écrire le sous domaine webdav.ndd

11.png.78a5f5d86a3c95ea2d7360721294ca2e.png

 

  • (reverse proxy) Créer un reverse proxy pour le webdav folder

 

12.png.106a377457dfc2f2c2d0061195b90b69.png

 

 

  • Réglage pare-feu BOX :
    • (Sans reverse proxy) Ouvrir le  port 5006 sur la box
    • (Sans reverse proxy)   Créer la règle de redirection du port externe 5006 vers le port interne 5006 du NAS
    •  (reverse proxy) Ouvrir seulement le 443 sur la box + pas de règle supplémentaire.

13.thumb.png.da184aa4c23197f9300afe9b9a5fd17e.png

14.thumb.png.bb2ab6ed467d8934cfcb097236a9d943.png

(pour le port 5006; remplacer le "443" par "5006" sur les screens ci-dessus)

 

  • Vérifier l’accès du dossier via WebDav par Windows

15.png.10616126e7ee2e0264872927efe5b645.png

  •  
    • (Sans reverse proxy) Tester avec l’URL du dossier Webdav : https://ndd:5006/WebDav
    •  (reverse proxy) https://webdav.ndd/WebDav/

16.png.74dd689dbbec23d24dbe5767a097f227.png

17.png.302071ca54055b070fb448ee0ebc1b3f.png

  • Essayer d’enlever et de mettre des dossiers en drag & drop
    • Si ça fonctionne alors bravo !
    • Déposer votre BD Keepass dans le dossier KeePass qui est dans le dossier partagé WebDav

 

  • Ouvrir l’application keepass android ou windows
    • Ouvrir base depuis url…
    • Écrire https://ndd:5006/WebDav/KeePass/NOMBD.kdbx
    • Ou alors si Reverse proxy : https://webdav.ndd/WebDav/KeePass/NOMBD.kdbx

 

  • Se connecter avec le compte utilisateur keepass et vérifier que le compte n’a accès à rien à part le dossier partagé webdav

ENLEVER LE DROIT DE LECTURE/ECRITURE/CONSULTATION du compte  utilisateur Keepass dans l’application photoStation directement (à l'aide d'un compte admin)

Modifié par d4RSH

Partager ce message


Lien à poster
Partager sur d’autres sites

Il faudrait corriger les url en remplaçant les synology.me par le ndd. On parle de ndd en début de tuto, il faut conserver le même format tout au long.

Perso, je ne passe par webdav pour keepass2android. J'utilise la version offline de ce dernier et je passe par DSCloud pour accéder à la base.

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai corrigé les 2/3 trucs, et à moins d'une grosse coquille, je pense que ça restera comme ça de mon coté.

De toute façon, le tuto est trouvable sur un de mes post.

 

Je suis curieux du fonctionnement du mode offline, tu as un lien ?

 

Cdlt.

Partager ce message


Lien à poster
Partager sur d’autres sites

Pas besoin de lien. Je me synchronise sur ma base avec DSCloud et j'utilise le fichier avec Keepass2Android. La version offline est la même que l'online sans les liens externes.

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci pour ce tuto.

 

Perso j'utilisais DScloud mais j'avais des soucis de synchronisation quand je faisais une modification de la base depuis mon téléphone Android et que la base était ouverte sur un autre PC. La nouvelle application Drive sur Android ne fonctionnait pas mieux.

Bon après j'ai peut-être pas su configurer les bonnes options de Keepass2Android...

 

Depuis que je suis sur WebDAV, tout marche nickel.

 

Envoyé de mon ONEPLUS A5000 en utilisant Tapatalk

 

 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites
Bonjour,
j'utilise DS cloud et drive et ça marche au top.
C'est très simple à mettre en œuvre, quelques minutes.
Même si la base est ouverte et modifiée sur plusieurs périphériques en même temps ?

Je l'ai souvent ouverte sur mon pc du boulot, sur mon téléphone, parfois sur mon pc chez moi si je rentre entre midi et deux.

Alors pour peu qu'il y est une modification quelque part ça partait souvent en vrille avec des doublons de fichiers ou des écrasements de modifications.

De mon côté c'était le plus souvent les modifications sur téléphone qui posaient problème malgré différentes options testées.

Depuis, je suis passé à WebDAV avec un filtrage sur mes IP du boulot et de la maison.

Envoyé de mon ONEPLUS A5000 en utilisant Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites

La base se verrouille au bout de quelques minutes et lors  de la réouverture elle se synchronise.

Sinon sur pc un 'enregistrer' met les données à jour également.

Si je ne suis pas devant mon pc, je prends soin de déconnecter ma session et par la même keepass (pour éviter de laisser le coffre fort ouvert...).

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Sur PC, on peut paramétrer keepass pour qu'il enregistre chaque modification de la base.

Sur mobile, je ne sais pas si je suis le seul, mais les modifications ou ajouts sont pour ma part quasi inexistants. Quand il y en a, ils sont gérés par DS Cloud et donc synchronisés avec la base du NAS.

Partager ce message


Lien à poster
Partager sur d’autres sites

Personnellement, malgré les bonnes pratiques de sécurité citées plus haut (verrouillage de keepass, etc...), avoir essayé différentes options, même ce schéma de synchronisation : https://keepass.info/help/kb/trigger_examples.html#dbsync
La synchronisation des modifications qui ont été faites depuis mon téléphone avec un "cloud syno" a toujours eu du mal à fonctionner.
Après, c'est vrai que mon utilisation est peut-être particulière :
- utilisation multi périphériques
- multi plateformes
- parfois en simultané (je partage la base avec ma femme, je peux faire des modifs sur 2 périphériques différents sur un court intervalle...)
WebDAV a l'avantage de bien géré tous les cas.

Envoyé de mon ONEPLUS A5000 en utilisant Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites

Certes, de plus je n'ajoute pas des log et mdp toutes les 5 mn depuis mes pc smartphones et tablettes...

C'est plus pour avoir disponibles mes id/mdp sur tout mes supports.

Tu dois en ajouter beaucoup et tout le temps, c'est pour quel type d'utilisation ces ajouts intensifs ?

Partager ce message


Lien à poster
Partager sur d’autres sites
Certes, de plus je n'ajoute pas des log et mdp toutes les 5 mn depuis mes pc smartphones et tablettes...

C'est plus pour avoir disponibles mes id/mdp sur tout mes supports.

Tu dois en ajouter beaucoup et tout le temps, c'est pour quel type d'utilisation ces ajouts intensifs ?

J'ai quelques identifiants professionnels où il m'est imposé de modifier tous les X jours le mot de passe.

Il y a aussi mes 2 banques qui m'obligent à changer régulièrement de mot de passe toutes les X connexions (Grrr... Tout ça pour être restreint sur des mots de passe d'une simplicité enfantine ).

Puis les créations de compte, c'est pas tous les jours mais entre le pro et le perso ça peut aller vite.

Et j'oublie certainement des choses (enregistrement de clé API, licence et autres...).

Puis keepass étant très customisable, on peut faire pas mal d'actions avec (lancer une connexion TeamViewer ou SSH ou RDP vers un périphérique, lancer des applis ou des scripts en tout genre en double cliquant une entrée...).

Quand on additionne le tout je me retrouve finalement assez vite avec des modifs régulières.

 

Envoyé de mon ONEPLUS A5000 en utilisant Tapatalk

 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Petit retour d'expérience.

Ma base Keepass de référence est stockée sur mon NAS dans un dossier géré également par Drive.

J'y accède de diverse manière:

  • en WebDav sur SSL depuis mon lieu de travail
  • en SFTP depuis mon smartphone.
  • en SMB depuis mon réseau local (PC et tablette)
  • via le dossier partagé Drive sur le PC de ma mère (quand je passe faire du support informatique à domicile).

Tout cela fonctionne et se synchronise sans problème dans tous les sens. Sachant que dans Keepass, que ce soit la version Windows que la version Android, la fonction "enregistrer" est en fait une synchronisation bi-directionnelle il n'y a pas trop de risque de perdre une modif.

En outre, le fait que ma base soit stockée dans Syno Drive me fait implicitement bénéficier du versioning intégré ce qui permet un éventuel retour arrière rapide en cas de fausse manip.

Modifié par CoolRaoul

Partager ce message


Lien à poster
Partager sur d’autres sites

Il y a un paquet qui s'appelle seulement "Drive" et l'autre le Drive/cloud de synology.😁

En faite je me demandais si pour clouder tes dossiers, tu utilisais un paquet "différent" de celui de Synology x)

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 5 minutes, d4RSH a dit :

Il y a un paquet qui s'appelle seulement "Drive" et l'autre le Drive/cloud de synology

Le paquet que j'utilise se nomme seulement "Drive" mais il est bien de Synology aussi:

image.png.8b12fdaebce72ed2f8b400a82c294f1f.png

image.png.7084752628792757ee4c0e81858759bd.png

Je ne connais pas ce "Drive/Cloud" 

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement