Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: AlainL op 28 oktober 2019, 15:36:12
-
Ik gebruik al jaren 2 factor authentication op mijn NAS. Vanochtend deed hij het plots niet meer. De code werd niet geaccepteerd. Resetten van 2FA heeft ook niet geholpen. Dubbele reset gedaan van mijn NAS en opnieuw ingesteld, maar 2 FA doet het nog steeds niet. Invalid barcode krijg ik als melding in Google Authenticator. Weet iemand waardoor dit probleem zich voordoet?
-
Heb ik ook gehad, dit kwam omdat ik regelmatig naar het buitenland (buiten Europa) en mijn laptop dus op een andere tijdzone zat dan mijn telefoon met de authenticator app. Windows past nl niet steeds de tijdzone aan als je in een ander land zit.
Nadat ik de tijdzones gelijk had gezet (zone van waar je nas staat), kon ik weer inloggen.
Ook heb ik 2FA voor mijn gebruiker een keer vanuit de “admin” account gereset. (waar toen 2FA niet op actief was)
-
Bedankt voor je reactie. Ik heb de tijdszones nagekeken ivm winteruur maar dat lijkt me in orde te zijn.
Reset heb ik ook uitgevoerd maar probleem blijft zich voordoen.
-
Ben niet zeker, maar staat de “admin” account niet terug actief na een reset?
Dan kan je van daaruit 2FA voor je huidige gebruiker uitzetten (onder configuratie-gebruikers)
-
Ja dat heb ik gedaan, 2 FA is uitgeschakeld. Maar ik probeer het nu opnieuw te activeren en daar loopt het fout. Ik krijg in google authenticator steeds de melding dat de barcode niet klopt.
-
Ook al gehad voor andere diensten en toen ik het later opnieuw probeerde ging het wel... Misschien eens de Microsoft authenticator gebruiken, maar denk dat die net hetzelfde doet...
Ikzelf gebruik de ingebouwde authenticator van 1Password.
-
Misschien de “Time-based” schakelaar uitzetten?
(https://uploads.tapatalk-cdn.com/20191028/a42d5f0149418c670d721b4f8cc10e4e.jpg)
Google Authenticator: Invalid tokens are caused by incorrect device clock settings. Your clock must show correct local time, date and time zone to work properly. Android and Windows phones have an option to correct for time errors inside the Authenticator app properties, if you do not wish to sync your clock. IPhones must be set to use internet time to make sure the clock is synced properly.
-
Bedankt. Ik heb ondertussen geprobeerd Time uit te schakelen in Google Authenticator. Zonder resultaat, nog steeds een ongeldige barcode.
Ik heb daarna een andere authenticatie app geprobeerd en krijg nog steeds de foutmelding. De fout moet toch ergens in de NAS zitten.
De vraag heb ik ook gesteld aan Synology support.
-
Weet je zeker dat beide apparaten correct met een tijdserver kunnen verbinden en synchroon lopen. Ik geloof dat je maximaal 2 min verschil mag hebben.
Een verschil in tijdzones lijkt me vreemd. In principe gebruikt hij intern steeds de GTM tijd en past het alleen in beeld voor de gebruiker aan aan de tijdzone. Als een andere tijdzone instelling uitmaakt, dan is dat een ontwerpfout.
-
Ik denk het wel; het gaat om een iPhone en een Synology. Dat is nooit foutgegaan.
Als ik naar de tijdstippen kijk zijn die hetzelfde.
-
Vandaag tegenaan gelopen en voor mij in ieder geval opgelost. Aangezien deze vraag erg hoog in de Google resultaten stond wilde ik mijn oplossing hier neer zetten die even simpel als doeltreffend was.
Ik gebruikte voor 2FA de Google of Microsoft app, beide werden niet geaccepteerd. De Synology authenticator app gaf wel de juiste code. Lijkt erg simpel maar als je vaak 2FA gebruikt, gebruik je mogelijk ook die van Google of Microsoft op Android of IOS.
-
Ook al eens een simpele herstart van je telefoon gedaan?
-
Ja, herstart telefoon. Herstart van 3 Synology servers, allemaal via NTP op time-sync, gevalideerd met tijd op telefoon etc. Oplossing is echt om de authenticator app van Synology te gebruiken en niet die van Google of Microsoft (die wel netjes de QR code scannen en ze in de lijst zetten, voor ieder van de 3 synology's eentje).
Was het probleem bij jou opgelost via een herstart van je telefoon?
-
Het zou niet uit mogen maken welke autenticator je gebruikt. Allen krijgen hetzelfde wachtwoord van de nas en de zelfde tijd van een tijdserver. En allen moeten dezelfde formule gebruiken on de code te genereren.
-
Ik gebruik al jaren twee apps, vernoemd eerder < HIER > (https://www.synology-forum.nl/3rd-party-packages/3th-party-par2-beschikbaar/msg252610/#msg252610)
EDIT - die tweede is schijnbaar niet meer beschikbaar.
-
Puur om deze oplossing te onderschrijven:
- Bij mij werkte Windows 10 de tijd niet vaak genoeg bij, en liep daarom 2 minuten achter. Het probleem is opgelost door handmatig de systeemtijd te verversen.
-
Oh.....dat is dus niet best, zou gaan uitzoeken waarom niet, want 2 min. achterlopen is gewoon veel.
-
Misschien een verkeerde "verweggistan" tijdserver ingesteld? Met teveel haperingen.
Gebruik een server "dichtbij" ---> nl.pool.ntp.org
-
Standaard gebruiken Windows peers/clients (dus niet Windows servers) een dynamisch interval tussen tijd-synchronisaties.
Iets in de geest van: is het verschil tussen de systeemtijd en de werkelijke tijd erg klein, dan wordt het interval vergroot, is het verschil beperkt, dan blijft het interval gelijk en is het verschil te groot, dan wordt het interval verkleind. In alle gevallen wordt uiteraard de systeemtijd aangepast (tenzij het verschil tussen de (schijnbare) werkelijke tijd en de systeemtijd te groot is; dan wordt de correctie verworpen).
Het interval wordt echter nooit kleiner dan
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MinPollInterval
en nooit groter dan
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPollInterval
Op Windows peers/clients kan het dynamisch interval worden overruled door de register key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
Reference o.a.:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc773263(v=ws.10)?redirectedfrom=MSDN
Daarnaast kan een gebruiker altijd handmatig een tijd-sync forceren.