[Synology] 2 要素認証 (2 factor authentication )の再設定方法 – Google AuthenticatorとSecure Signinの比較 [2022/09/03]

ID36781

2要素認証

2要素認証は、端末にランダムな6桁のコードを1分間表示させて、そのコードは、ログイン対象であるNASと同期しており、設定されたユーザー毎に正しいコードをパスワードの次に入力しなければログインできない認証方法です。

注) その同期というのは時間を使用しているようです．以下のような経験をしました．あるNASにログインする際，2 Factorのコードを入力したときエラーする頻度が増えてきました．ある日，回数制限によりログインできなくなりましたが，別の管理者権限でログインして，時刻の更新をすると解決しました．解決方法は，以降に述べています．

Synology NASにおける2要素認証

iOSの端末からログインする場合、DSM7では大きく分けて2の認証アプリを使用できます。1つは一般的に従来から使われているアプリと、もう１つはSynologyが提供する専用のアプリです。

これらはメリット/デメリットがそれぞれあるので、好みに合ったアプリを使用できます。

おすすめは、

「Google Authenticator」

です。このアプリでは、他の端末に登録した内容を複製/移動することが可能です。

例えば、iPhoneにある複数の登録内容をiPadに送れます。送る場合もQRコードを使用します。

Synologyが提供する

「Secure Signin」

では、端末に登録した内容を他の端末に複製/移動させる機能がありません。ただし、1つおしゃれな機能画あります。2 factor コードによる認証ではないのですが、パスワードを入力する代わりに別な方法の使用が可能です。その機能は、表示された数字を認証するように促す方法です。これは今流行りの方法で、みなさんも良くご覧になると思います。この数字が表示されてから、その数字を「Secure Signin」アプリから同じ数字をタップすることで承認されるという仕組みです。この方法は、おしゃれで洗練されているとは思いますが、数字が表示される画面には、パスワードからログインする方法も提供されており、少しセキュリティが低いです。2 factorコードを使わない場合は、おしゃれで洗練され便利な機能です。

まとめ

Google Autheticator

機能は以下の通りです。

• 2段階認証
• 端末からの他の端末への登録内容を、複製/移動できる

登録は、先ず、コントロールパネル > セキュリティ > 2要素認証から、2要素認証をチェックします。その後、ユーザーとグループで設定したいユーザーを編集します。この方法では、一般的な2要素認証のアプリが使用可能です。

一部のユーザーにおける再登録には少しコツが必要です。今後は、DSMがアップデートされれば修正や改善されるかも知れません。

管理者AでユーザーBを再登録する場合、

1. 管理者Aで、コントロールパネル > セキュリティ > 2要素認証から、管理者Bの2要素認証のチェックを外します。この場合、その他ユーザーの編集画面で2要素認証が有効となっているユーザーの設定が消えることはありません。
2. ユーザー設定画面から、Bの2要素認証を無効にする。
3. コントロールパネル > セキュリティ > 2要素認証のチェックを付ける。
4. 以上の設定の後、ユーザーBによるログイン際はパスワードでログインできる。その後、以下の画面で真中のログイン方法(Verification code (OTP); 2 要素認証)を選択して設定処理を進めていきますします。現在(DSM 7.0.1-42218)は、「Google Autheticator」が使えます。今後のアップデートでは、以下に説明している「Secure Signin」への使用が強制されるかもしれません。

Secure Singin

機能は以下の通りです。

• 2段階認証
• 端末からの他の端末への登録内容を、複製/移動ができない
• パスワードの代わりに数字のタップと端末からの認証機能(2段階認証ではない)

DSMの右上にあるユーザーのパーソナル情報をクリックすると、ログイン方法を選べる画面が現れます。この方法では「Secure Signin」アプリしか受け付けません。

問題があるとき

2 Factorのコードを入力してもエラーで、ログインできないとがあります。その原因は、NASの時間が狂っている場合に起きます。NASの設定で地域オプション・時間の画面で、今ずくアップデートのボタンを押してネットの標準時間に合わせる操作をしてみてください。解決するはずです。タイム・サーバーの変更も実施してみてください。同期エラーしていることも考えられます。

具体的な手順は以下の通りです．

1. コントロール パネル → 地域オプション → 時間 → 今すぐアップデート

モバイルデバイスの時間がSynology NASと異なるのはなぜですか？ – Synology Knowledge Center –

https://kb.synology.com/ja-jp/DSM/tutorial/how_to_sync_time_between_mobile_NTP

再設定

2 Factorのコードを再設定するには以下の手順で行います．

まず，管理者による作業は以下の通りです．

1. Synology NASのDMSに，管理者でログインする
2. コントロールパネル → ユーザーとグループ
3. 「再設定したいユーザーを選び，編集タグを押す」
4. 「2要素認証を無効にするを押す」
5. 「保存する」

次に，再設定したいユーザーによる作業は以下の通りです．

1. Synology NASのDMSにログインする
2. 指示に従って，2要素認証の再手続を進める．
3. 少し具体てには，必要なアプリのダウンロードのためののQRコードの表示の後に表示されるQRコードを継体プリにインストールした「Google Authneticator」または「Secure Signin」で読み込むと，完了．

以上の作業で2 Factor (2要素)認証の再設定は完了です．

編集履歴

2022/01/04, Mr.HARIKIRI
2022/06/30, 追記; 2 Factorコード入力でエラーしてログインできない時の対処法
2022/09/03, 追記: 2 Factorの再設定の手順

関連記事:

[Synology] 高速WiFiルーター RT2600ac – 独自VPN Plus Server – 海外からのアクセスには独自のSSL VPNが高速、19のライセンスを無償で追加 – ID37 [2022/06/16] [Synology] NASのネットワークツールからWOLを発信してと思ったが、ルーターはRT2600acなので、iPhone用のアプリDS ROUTERの wake on LAN から自宅のPC/ビデオレコーダー等を起動する – ID508 [2021/06/19] [Synology] NASのセキュリティを強化する方法のリンク [Synology] フルスペック化した DS918+ / DSM更新ができずクリーンインストールを余儀なくされたが、なんとか復旧に至るまでの道程 -[2021/03/06] [Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 – [2020/12/31] [Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する – [2021/08/01]

authentication

認証