15/11/2024

Activer la double authentification sur DSM

Activer la double authentification sur DSM

Continuons à renforcer l'authentification et l'accès aux comptes utilisateurs en ajoutant l'authentification à 2 facteurs (MFA) aux comptes de notre NAS. Pour s'authentifier sur DSM, l'utilisateur a plusieurs solutions :

  • Utiliser son mot de passe
  • Utiliser son mot de passe et un deuxième facteur d'authentification
  • Utiliser l'authentification sans mot de passe

Pour améliorer la sécurité, il est recommandé d'utiliser l'authentification à 2 facteurs (ou l'authentification sans mot de passe) sur tous les comptes où cela est possible. En effet, selon les usages, vous pouvez rencontrer des contraintes (par exemple : un logiciel qui se connecte sur le partage du NAS pour stocker des données ne prendra pas toujours en charge le MFA).

Sur un NAS Synology, l'utilisateur a le choix entre plusieurs solutions pour le second facteur d'authentification :

  • Code de vérification (TOTP) c'est-à-dire un code de connexion unique, généré à partir de l'application mobile
  • Clé de sécurité matérielle (FIDO2 et U2F) selon la liste de compatibilité fournie par Synology

I. Configurer la double authentification

Passons maintenant à la configuration du MFA sur le système DSM de Synology.

Tout d'abord, ouvrez le "Panneau de configuration", cliquez sur "Sécurité" (1) puis sur l'onglet "Compte" (2). À cet endroit, vous devez cocher l'option "Appliquer l'authentification à 2 facteurs pour les utilisateurs suivants". Ensuite, le choix vous appartient puisqu'il faut choisir les utilisateurs (ou les groupes) où le MFA doit s'appliquer :

  • Utilisateurs du groupe administrateur : c'est à minima ce que vous devez faire pour protéger les comptes avec des privilèges élevés
  • Tous les utilisateurs : sûrement l'idéal, mais pas forcément applicable !
  • Utilisateurs ou groupes spécifiques : un bon compromis, vous pouvez créer un groupe "MFA" et ajouter dedans tous les utilisateurs où vous souhaitez activer le MFA

Synology MFA

Donc, une fois que vous avez fait votre choix, il ne reste plus qu'à sauvegarder via le bouton "Appliquer". À ce moment précis, DSM va vous proposer de configurer le MFA dès maintenant sur votre compte. Soyons fous et cliquons sur "Configurer maintenant".

Un assistant se lance... Et on commence par vous rappeler que pour vous connecter sur le NAS, il faudra saisir votre mot de passe et le code d'authentification à usage unique généré par l'application sur votre smartphone. Cliquez sur "Démarrer".

Pour générer ce code à usage unique, vous devez utiliser une application compatible : Synology Secure SignIn, Google Authenticator, Microsoft Authenticator ou encore FreeOTP. En fait, vous n'êtes pas obligé d'utiliser Synology SignIn, mais vous pouvez utiliser une application équivalente que vous utilisez déjà. En fait, le code QR qui s'affiche à l'écran sert à ouvrir le store afin de télécharger l'application Synology donc vous pouvez cliquer sur "Suivant" sans forcément scanner le code.

Synology Secure SignIn

Pour vous permettre de voir à quoi ressemble l'application Synology, je l'ai installée sur mon mobile. Concrètement, son utilisation est simple puisqu'il suffit de cliquer sur "Ajouter" pour créer un nouveau profil puis de cliquer sur "Autoriser l'accès à la caméra" afin de pouvoir scanner le code QR qui s'affiche sur DSM.

Pour être précis, c'est le code QR ci-dessous qu'il faut scanner depuis l'application mobile. Ensuite, sur le mobile, un code à usage unique va s'afficher donc vous devez le saisir au niveau du champ "Code de vérification (OTP)" et cliquer sur "Suivant".

Quand je fais référence au code à usage unique, c'est celui-ci :

Android Synology SignIn

À l'étape suivante, vous devez définir une adresse e-mail de secours sur laquelle sera envoyé un code de secours dans le cas où l'application mobile est défaillante, ou que votre mobile est inaccessible. Autrement dit, c'est très important pour avoir une solution de secours et ne pas perdre l'accès à son compte. À ce sujet, voici ce que dit Synology : "Si vous perdez votre périphérique jumelé ou que vous n'y avez pas accès, vous pouvez tout de même vous connecter à votre compte à l'aide du code de vérification d'urgence envoyé à cette adresse e-mail de secours."

Remarque : avant de mettre en place l'authentification à deux facteurs, veillez à ce que votre NAS soit capable d'envoyer des notifications par e-mail (comme vu précédemment). Sinon, l'e-mail ne pourra pas être envoyé sur votre adresse e-mail de secours, dans le cas où le besoin se présente.

Dès que c'est fait, cliquez sur "Suivant".

Pour finir, un résumé s'affiche : cliquez sur "Effectué".

II. Tester le MFA sur DSM

Dans le but de voir ce que cela donne en pratique, vous pouvez vous déconnecter et vous reconnecter à DSM. Dans un premier temps, le mot de passe sera demandé, puis dans la foulée, le code de vérification doit être indiqué. Pour être précis, c'est à ce moment-là que vous devez ouvrir l'application sur mobile afin de récupérer un nouveau code.

DSM 7 MFA

À tout moment il est possible de revenir sur la configuration de l'authentification à 2 facteurs d'un compte utilisateur. Pour cela, il faut cliquer sur l'icône utilisateur en haut à droite, puis sur "Perso" et accéder à la section "Méthode de connexion". Ici, il est possible de configurer l'authentification sans mot de passe (ce qui nécessite de désactiver le MFA) ou d'ajouter une clé de sécurité physique, par exemple.

Enfin, sachez qu'il est tout à fait possible d'accéder à un partage en SMB (ou un autre protocole) via un lecteur réseau sous Windows (par exemple), en s'authentifiant à partir d'un compte où le MFA est actif.

Félicitations ! Le MFA est en place sur votre NAS Synology ! Nous pouvons passer à la mesure de sécurisation suivante.

Chapitre Précédent
Retour au Module
Chapitre Suivant
author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Windows 11 22H2 va accueillir Microsoft Copilot la semaine prochaine !

Florian BURNEL 0
Microsoft désactive un correctif pour BitLocker CVE-2024-38059

Microsoft désactive un correctif pour BitLocker : c’est à vous de faire les manipulations à la main !

Florian BURNEL 3
Windows Server - Trafic NTLM - Mise à jour avril 2024

Windows Server : les mises à jour d’avril 2024 provoquent des problèmes avec le trafic NTLM

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.