Synology NAS の管理画面「DSM」にアクセスするための 2 段階認証が、突然弾かれるようになってしまいました。
なんとか解決することができたので、その備忘録として。
突然やってきた、2 要素認証弾かれ問題
「Synology NAS」上で起動される2 個のパッケージが最新版ではありません。「Synology NAS」で DSM にサインインして、パッケージ センターを開き、最新版のパッケージをインストールしてください。
これは、Synology NAS にインストールしている拡張機能のバージョンが古くなった時に送られてくる通知メールです。
拡張機能をアップデートすることで新たな機能が使えるようになることがあるほか、セキュリティ強化がされていることもあったりするため、この通知を確認したらできるだけ早く更新する必要があります。
このメールを確認したボク。いつものように Web ブラウザから NAS の管理画面「DSM」にアクセスしようとしました。ところがここで大問題が発生。
ID とパスワードを通過後、Authenticator アプリから 2 要素認証コードを入力。そして弾かれる!
何度やっても弾かれる! 無駄無駄無駄無駄無駄ァ!!
これまで何度もこの手順でログインに成功してきました。にも関わらず突如としてログインができなくなってしまったのです。
幸いにも復旧パスワードを受信するためのメールアドレスを設定していたので、緊急送信。なんとかログインすることができました。
で、この時はなぜ突然 2 要素認証が弾かれるようになってしまったのか、全く検討もつきませんでした。
まあ、2 要素認証の設定が何かしら狂っちまったんだろう。
一旦設定リセットしたろ。 (ポチー)
DSM から一度 2 要素認証の設定をリセットして再設定。結果この行為が更なる悪夢を生み出してしまうとは、この時ボクはまだ知る由もなかったのです。
安直な「2 要素認証設定の初期化」が悪夢を生んだ
それからしばらくして、再びパッケージの最新版インストールを促すメールがやってきました。2 要素認証の事件なんかすっかり忘れていたボク。なんと再び Authenticator アプリで弾かれてしまいます。
さらに前回とは様相が違います。そう、復旧パスワード送信のボタン表示がないのです!
それもそのはず。緊急復旧パスワードの送信先は、初めて 2 要素認証が成功したタイミングで設定するもの。
2 要素認証設定のリセット後に一度もログインをしていないため緊急復旧パスワードの送付先も未設定のまま。当然今回は送信ボタンが表示されないというわけ。
相変わらず何度試しても Authenticator アプリは正常に動作しません。無駄無駄無駄無d (ry
DSM に一生ログインません。あ〜〜〜詰んだわ〜〜〜〜〜。
Synology「設定リセットしろ」 ボク「嫌です……」
一般的な SaaS では、2 要素認証でのログインができなかった時点で本当の意味で詰みになることがほとんどです。
多くの場合、2 要素認証でのログイン方法を失ったアカウントは2度と使えなくなってしまいます。
でも、Synology NAS は違います。本体にある「RESET」ボタンを押すことによってパスワードや 2 要素認証の設定を全て無かったことにできます。
Synology の公式サポートページでも、
2 要素認証でログインできなくなったら RESET してや
との記載があります。
しかし、RESET ボタンで無かったことにされるデータはパスワードや 2 要素認証だけではありません。その他多くの設定まで一括で無かったことにされてしまうのです。
- 設定が戻される要素一覧
- adminアカウントをデフォルト値に戻す
- IP、DNS、ゲートウェイ、その他のネットインターフェイスを DHCP にリセットする
- UI 管理ポートを 5000/5001 にリセットする
- PPPoE を無効にする
- 自動ブロックを無効にする
- Link Aggregation を無効にする
- ファイアウォールルールを無効にする
それはそれで面倒くさいので、もっと他に方法がないか模索することにしました。
NAS の時計が狂っていたのが全ての原因
そもそも 2 要素認証で使っている Authenticator アプリ。これは 1 分間だけ有効なワンタイムパスワードを生成・表示するシステムです。
逆に言えば、ワンタイムパスワードを表示する側 (スマートフォン) と通す側 (NAS) の時間設定が合致していなければこのシステムは正常に動作しません。
いや、まさかなと思いつつ。
幸いにも今回は DSM にログインできないだけで、クライアント PC から NAS への接続は可能な状態でした。
そこで、Finder から NAS 上に適当なフォルダを作ってみて、記録されたフォルダ生成時刻を確認してみました。
これがまさかのビンゴ! 表示されたフォルダ生成時刻は、iPhone の時間よりも 2 分間ほど過去を示しています。つまり、NAS がボクらよりも 2 分間遅れた世界に存在することになっていました。
NAS の時間設定は管理画面に入らないと変えられません。なので iPhone の時間設定を変更してみます。
手順はこんな感じ。
- 「設定」アプリを開く
- 検索 box に「日付」と入力
- 検索結果に表示される「日付と時刻」をタップ
- 表示された画面の [自動設定] をオフにする
- 任意の時刻に設定する
この手順で iPhone の時間を 2 分過去に戻して、再度 Authenticator チャレンジ。
イッたーーーーーーーーー!!!!!
無事ログインすることができました。
よかった、本当によかった。
なぜ NAS の時刻設定がずれていたのか?
この理由だけは最後までわかりませんでした。
NAS の時刻設定は、DSM の「コントロール パネル」→ 「地域オプション」 から確認、変更することができます。
「タイムゾーンが日本ではない違う国に設定されていました!」というのはこれ系の問題ではあるある。なのですが今回に関してはバッチリ「(GMT +09:00) Tokyo, Osaka, Sapporo」と、間違いなく日本設定になっていました。
となるともう、悪いのは NTP サーバーしかありえない。
そんなわけで NTP サーバーを「time.google.com」 から「time.nist.gov」に変更。これで無事に時間が直りました。
要するに Google のせいで色々悩まされていたというわけですね。
でもつい最近までは何の不具合もなかったこともまた事実。何なんだろうねほんとに。
