Do sada smo otvorili, povezali, instalirali, a i djelomično konfigurirali naš novi NAS. Kao što sam spomenuo u mom uvodnom članku, još uvijek postoje koraci koje treba napraviti kako bi NAS bio spreman za korištenje.

Sada kada smo također konfigurirali i RAID polje, možemo krenuti dalje s drugim koracima.

Ovaj članak će se usredotočiti na općenito upravljanje korisničkim računima i pravima pristupa. Stvaranje novog korisnika, postavljanje 2FA, onemogućavanje administratora (iz sigurnosnih razloga), dodavanje novih korisničkih dozvola, kvote itd.

Jedna kratka opaska prije nego krenemo dalje. Synology NAS može imati više korisničkih kategorija, a povrh toga može koristiti lokalne i Active Directory grupe i korisničke račune. Usredotočit ćemo se ovdje na lokalne račune (DSM računi), s obzirom da Active Directory računi zahtijevaju postavljanje i pokretanje Synology Directory Server (to je izvan opsega ove 101 serije).

DSM User & Group ikona u Control Panel-u

Kreiranje korisničkog računa

Većina početnika griješi i koristi zadani administratorski račun za svoje svakodnevne operacije. Ako se sjećate u prvom članku postoji korak nakon instalacije DSM-a gdje je potrebno postaviti novi zadani račun za pristup NAS-u. Sada, to nije postojeći administrativni račun koji je ugrađen, već novi, osobni, admin račun. Ako odlučite koristiti taj račun za vaše svakodnevne operacije, svakako budite sigurni u to što radite. Svatko tko ima pristup tom računu može izvršiti velike promjene u konfiguraciji DSM-a koje uključuju, brisanje RAID polja, konfiguraciju svih aplikacija i servisa, upravljanje korisnicima, itd. ...

Pošto morate imati korisnika koji može učiniti sve navedeno, pitanje je  zašto biste trebali stvoriti novog? Pa za početak ne želite dijeliti taj račun i možda ćete imati više korisnika koji će koristiti razne aplikacije/usluge vašeg NAS-a, a da pritom nemaju nikakve potrebe za promjenama u ostatku DSM OS-a. Također, kako ćete zaštitili određene mape koje jedan korisnik može koristiti, a drugi ne?

Kreiranje korisnika počinje na upravljačkoj ploči DSM-a (Control Panel). Pomoću gornjeg padajućeg izbornika lijeve strane kliknite na ikonu da biste otvorili upravljačku ploču.

Moramo pokriti dva segmenta ovdje, User i Group. Počnimo s grupama.

Grupe (Groups)

Postoji nekoliko ugrađenih vrsta grupa u DSM-u. administrators, http, users. Svaka skupina ima specifične dozvole na razini sustava koje se primjenjuju na određene mape, aplikacije i servise.

Iako su svi novi korisnici prema zadanim postavkama članovi users grupe, nisu svi korisnici članovi grupe administrators. Ovo je dobra stvar jer, kao što sam rekao prije, administratori imaju apsolutno moć na vašem NAS-u (jedini drugi račun koji ima više snage je root).

Ako ste član ili radite s računom koji je član grupe koja omogućuje stvaranje novih skupina, možete ih stvoriti ako to odlučite. Također, neke će se grupe stvoriti automatski nakon instalacije novih paketa (aplikacija).

Kao i korisnici, grupe također mogu imati svoja vlastita dopuštenje, kvotu i definiciju korištenja aplikacija koja se može uređivati putem Edit tipke. Dakle, ako se bavite višestrukim korisnicima kao dio određenog projekta, na primjer, bit će lakše definirati sva ta opća pravila na razini jedne grupe nego na svakom pojedinom korisniku. Kao iznimka, svaki korisnik može imati posebnu dozvolu nad dozvolama grupe. To sve ovisi o vašim potrebama upravljanja korisnicima/grupama.

Na kraju, možete koristiti grupni odjeljak za uređivanje članova (dodavanje ili uklanjanje) ako ne želite odmah dodijeliti svakog novog korisnika kojeg stvarate u određenu grupu.

Korisnici (Users)

Slično grupama, korisnički dio je gotovo identičan. Ovdje možete stvoriti/uvesti nove korisnike, definirati njihovu adresu e-pošte, zaporke, dozvole, kvote i još mnogo toga. Uz dovoljno prava, možete čak i onemogućiti određene račune (preporuka za zadani administratorski račun) kako bi ostali neaktivni za korištenje (određeni korisnik više nema pristup NAS-u, ali želite zadržati račun).

Pod odjeljkom korisnika i grupa nalazi se i kartica napredno (advanced). Ova kartica pokriva postavke zaporki (postavke na razini sustava), njihov istek, kao i 2FA (dvostupanjska autentifikacija), te aktiviranje User Home servisa (određene aplikacije i usluge ga zahtijevaju tako da ćete ga morati aktivirati čak i ako imate svega jednog korisnika NAS-a).

Kreiranje korisnika i podešavanje dvostupanjske autentifikacije (2FA)

U redu, recimo da je potrebno dodatni novog korisnika (osim inicijalnog stvorenog pomoću čarobnjaka za instalaciju DSM). Morate ga stvoriti, dati mu dozvole i ograničenja (izborno) te iz sigurnosnih razloga, pokazati kako konfigurirati 2FA.

Otvorite Control Panel > User & Group > User (kartica) i kliknite gumb Create. To će otvoriti čarobnjak za stvaranje korisnika koji će vas voditi naprijed. Ispunite potrebna polja i prođite na sljedeći korak.

Čarobnjak za kreiranje novog korisnika - popunite potrebne informacije

Sljedeći korak bit će dodijeliti korisnika grupi. Primijetit ćete da ne možete poništiti odabir Users grupe. Kao što je već spomenuto, svi članovi moraju biti članovi te grupe. Nakon što odaberete grupu ili grupe koje želite da vaš novi član bude dio, pređite na sljedeći korak čarobnjaka, zajedničke dozvole za mape.

Ovaj korak će vam pokazati sve zajedničke mape koje postoje na NAS-u, kao i tri stupca u vezi dopuštenja za svaku od tih mapa. Do sada još uvijek nismo spomenuli zajedničke mape (to će biti pokriveno u sljedećem članku) iz razloga što korisnici ne trebaju pristup niti jednoj od njih kako bi imali pristup određenim aplikacijama i uslugama na NAS-u.

Kao što možete vidjeti, ovdje postoji prioritet prava. No access (bez pristupa) ima prednost nad Read/Write (čitanje/pisanje) koji ima prava nad Read (čitanje) pravima. To znači da ako netko ima opciju na zajedničkoj mapi koja kaže bez pristupa, a pritom također ima i pravo čitanja i pisanja, to pravo neće imati nikakvu snagu jer osoba i dalje neće imati prava pisanja i čitanja. Poanta je, dodijelite minimalna prava svojim korisnicima i nemojte si komplicirati život previše sa nekom egzotikom jer će vas u situaciji gdje imate veliki broj korisnika to samo dovesti u probleme.

Na pola puta smo, još tri koraka do kraja. Sljedeće, postavke kvote. Iako ovo nije mandatorna opcija, kvote mogu biti vrlo korisne u svakodnevnom radu s više korisnika. Ako želite imati kontrolu nad nekim “nemarnim” korisnicima, kvote su mjesto za to (možete ih definirati i mijenjati kasnije). Definiraju se na razini zajedničkih mapa, kvote se mogu mjeriti u MB, GB ili TB. Ovdje ćete također vidjeti prethodno definirane kvote na razini grupa, ukoliko ih ima.

Kao što sam već rekao, korisnici NAS-a mogu koristiti aplikacije i servise bez da imaju pristup bilo kojoj zajedničkoj mapi. Na vama je da odaberete nad kojim aplikacijama i servisima će vaši korisnici imati prava korištenja. Jedna stvar koju treba spomenuti ovdje, a to je da će ovaj popis sadržavati samo aplikacije instalirane iz Package Center-a (pa čak i tada ne sve njih). Ovaj popis neće sadržavati nikakve aplikacije koje ste možda konfigurirali unutar Docker platforme, čisto kao primjer.

Na samom kraju ovog čarobnjaka su opcije vezane za ograničenja brzine. Ovo je važno ako imate više korisnika koji koriste NAS za prijenos podataka (upload i/ili download). Imajte na umu da su brzine prijenosa i preuzimanja u KB/s pa treba voditi računa ukoliko radite konverziju.

Konačno, stvorili ste korisnika. Sve ove postavke moguće je mijenjati u bilo kojem trenutku (dodavanje više prava na nove zajedničke mape, postavljanje kvota, onemogućavanje računa, itd.).

2FA

Dvostupanjska autentifikacija danas nije ništa novo, štoviše jako se preporučuje. Ovo ima još više smisla ako izlažete NAS na Internet. Kompleksna lozinka s 2FA povrh svega će učiniti stvari teškim za svakoga tko pokušava neovlašteno dobiti pristup vašem uređaju. Da ne spominjem da možete koristiti vatrozid (sa geografskom zaštitom), kako bi ograničili pristup iz određenih zemalja u svijetu (više o tome u članku 5.).

Samo brz podsjetnik da možete omogućiti 2FA da bude obvezan za sve korisnike ili ga ostaviti na zadanim postavkama, svaki korisnik može odabrati sam sebi postaviti 2FA.

Ako je to slučaj, ovdje su koraci potrebni za aktiviranje.

Počevši od padajućeg izbornika profila korisnika (gornji desni izbornik) odaberite Personal stavku.

Opcija za dvostupanjsku autorizaciju

To će vam dati mogućnost otvoriti 2FA čarobnjaka koji će vam omogućiti da aktivirate 2FA za vaš račun na uređaju po vašem izboru (na primjer smartphone).

Odaberite drugu opciju (OTP)

Nakon što ste unijeli svoju adresu e-pošte, morat ćete skenirati QR kod s uređajem koji će se koristiti za 2FA putem aplikacije za provjeru autentičnosti po vašem izboru. Konačno, DSM će zamoliti da unesete 6-znamenkasti broj zbog provjere i potvrde 2FA sinkronizacije s uređajem.

Nakon kratkog postupka, prijavljivanje u DSM će zahtijevati korisničko ime i zaporku za vaš račun te valjanu jednokratnu lozinku koju generira vaš autentifikator. U slučaju da postoji problem s 2FA, možete zatražiti jednu vremensku zaporku koja će biti poslana na vašu e-poštu za prijavu.

Kada sam to već spomenuo, svakako konfigurirajte svoju e-poštu unutar DSM-a za takve situacije i budite sigurni da su vrijeme i datum na vašem NAS-u točni.

Vrijeme provjere će vas odvesti na Control Panel > Regional settings > Time kartica > Time settings. Imati točno vrijeme na vašem NAS-u je presudno kako bi 2FA radio uredno.

To je to! Sada znate kako stvoriti, konfigurirati i osigurati svoje račune s 2FA. Vrijeme je za stvaranje nekih mapa, te naučite kako upravljati svojim sadržajem.