Après différents essais et un parcours dans des menus DSM parfois confus pour moi.
je vous propose ici deux méthodes fonctionnelles et testées pour utiliser des clés matérielles FIDO2.
Ceci afin d’accéder à l’interface DSM avec un compte administrateur.
Deux possibilités d’authentification :
Authentification à facteur unique (1FA)
clé matérielle FIDO2 uniquement (connexion sans mot de passe)
Authentification à deux facteurs (2FA)
mot de passe administrateur DSM + clé matérielle FIDO2
Contexte de test :
NAS : DS225+
DSM : 7.3.x
Accès : local ou via VPN Tailscale (VPN non obligatoire)
Clés FIDO2 : YubiKey 5C NFC
Prérequis :
2 clés FIDO2
2 comptes administrateurs actifs :
- mon_admin (compte principal)
- mon_admin_secours (compte de secours)
Le compte administrateur d’origine (admin) est désactivé
Accès DSM via LAN ou VPN
Paquet Secure SignIn installé
Point important à comprendre :
Sur DSM 7.3.x, le paquet Secure SignIn doit obligatoirement être installé pour que les options liées aux clés FIDO2 apparaissent dans les menus.
En revanche, Secure SignIn n’est pas utilisé ensuite pour l’authentification DSM :
ni en OTP
ni en validation push
Cela est valable pour les deux variantes présentées (1FA et 2FA).
Pourquoi cette organisation ? :
Deux clés FIDO2
- une clé principale (usage quotidien)
- une clé de secours, stockée en lieu sûr (perte, casse, dysfonctionnement…)
(ceinture et bretelles)
Compte ‘mon_admin_secours’
- pas de clé FIDO2
- authentification par mot de passe DSM très robuste (16 caractères minimum, stocké en sécurité)
- compte dormant, utilisé uniquement en cas de problème :
perte des clés
erreur de configuration
bug DSM
C’est, à mon sens, une bonne pratique générale pour l’administration DSM.
(encore ceinture et bretelles)
LES TUTOS :
Pour éviter de surcharger cette page, deux fichiers joints, détaillés pas à pas (copies d'écrans) des deux variantes :
- TutoFIDO2_1FA.pdf --> Connexion sans mot de passe DSM avec clé FIDO2
- TutoFIDO2_2FA.pdf --> Connexion avec mot de passe DSM + clé FIDO2
Note:
Les dispositifs FIDO2 sont disponibles sous différentes formes:
clé USB, clé USB-C, clé Lightning, avec ou sans NFC, ainsi que carte NFC au format carte bancaire.
Leur utilisation dépend du matériel et du système d’exploitation :
- sur ordinateur (PC/macOS), via USB
- sur appareils mobiles compatibles, via NFC ou connecteur physique
Le support peut varier selon les modèles et les versions de systèmes.
Avertissement :
Ce tutoriel est basé sur des tests réels effectués sur DSM 7.3.x.
Les comportements peuvent évoluer avec les futures versions de DSM.
je vous propose ici deux méthodes fonctionnelles et testées pour utiliser des clés matérielles FIDO2.
Ceci afin d’accéder à l’interface DSM avec un compte administrateur.
Deux possibilités d’authentification :
Authentification à facteur unique (1FA)
clé matérielle FIDO2 uniquement (connexion sans mot de passe)
Authentification à deux facteurs (2FA)
mot de passe administrateur DSM + clé matérielle FIDO2
Contexte de test :
NAS : DS225+
DSM : 7.3.x
Accès : local ou via VPN Tailscale (VPN non obligatoire)
Clés FIDO2 : YubiKey 5C NFC
Prérequis :
2 clés FIDO2
2 comptes administrateurs actifs :
- mon_admin (compte principal)
- mon_admin_secours (compte de secours)
Le compte administrateur d’origine (admin) est désactivé
Accès DSM via LAN ou VPN
Paquet Secure SignIn installé
Point important à comprendre :
Sur DSM 7.3.x, le paquet Secure SignIn doit obligatoirement être installé pour que les options liées aux clés FIDO2 apparaissent dans les menus.
En revanche, Secure SignIn n’est pas utilisé ensuite pour l’authentification DSM :
ni en OTP
ni en validation push
Cela est valable pour les deux variantes présentées (1FA et 2FA).
Pourquoi cette organisation ? :
Deux clés FIDO2
- une clé principale (usage quotidien)
- une clé de secours, stockée en lieu sûr (perte, casse, dysfonctionnement…)
(ceinture et bretelles)
Compte ‘mon_admin_secours’
- pas de clé FIDO2
- authentification par mot de passe DSM très robuste (16 caractères minimum, stocké en sécurité)
- compte dormant, utilisé uniquement en cas de problème :
perte des clés
erreur de configuration
bug DSM
C’est, à mon sens, une bonne pratique générale pour l’administration DSM.
(encore ceinture et bretelles)
LES TUTOS :
Pour éviter de surcharger cette page, deux fichiers joints, détaillés pas à pas (copies d'écrans) des deux variantes :
- TutoFIDO2_1FA.pdf --> Connexion sans mot de passe DSM avec clé FIDO2
- TutoFIDO2_2FA.pdf --> Connexion avec mot de passe DSM + clé FIDO2
Note:
Les dispositifs FIDO2 sont disponibles sous différentes formes:
clé USB, clé USB-C, clé Lightning, avec ou sans NFC, ainsi que carte NFC au format carte bancaire.
Leur utilisation dépend du matériel et du système d’exploitation :
- sur ordinateur (PC/macOS), via USB
- sur appareils mobiles compatibles, via NFC ou connecteur physique
Le support peut varier selon les modèles et les versions de systèmes.
Avertissement :
Ce tutoriel est basé sur des tests réels effectués sur DSM 7.3.x.
Les comportements peuvent évoluer avec les futures versions de DSM.
