ownCloudからオブジェクトストレージ(Amazon S3)をSSLクライアント認証経由で利用(リバースプロキシ構成)

今回は、プライベートCAサーバーとownCloudの運用サーバーを異なるサーバーで運用する場合の例です。自社運用するオンラインストレージへの認証をSSLクライアント証明書により、手軽に強化することが出来ます。

SSLクライアント証明書の発行、リバースプロキシの設定、ownCloudやオブジェクトストレージまでを自社管理で運用できるためセキュアな運用が可能です.

オブジェクトストレージには、Webブラウザによるhttps及びSSLクライアント認証経由でのアクセスとなります。

 

構成としては

  • Powered BLUE プライベートCA (CA &リバースプロキシを運用)
  • ownCloud (別サーバー)
  • Amazon AWS S3 (オブジェクトストレージを利用)

です。

Powered BLUE プライベートCAでSSLクライアント認証を行います。認証が有効の場合には、リバースプロキシにより別サーバーで運用のownCloudへリダイレクトを行います。さらにownCloudから外部ストレージとして、オブジェクトストレージ (Amazon S3)を利用します。

この構成では、オンラインストレージ(ownCloud) とオブジェクトストレージ(Amazon S3)へのアクセスをSSLクライアント証明書(SSLクライアント認証)とID&パスワードによる2要素認証を利用しての運用が出来ます。

プライベートCAとownCloudを1台のサーバー(同一サーバー)で運用の場合には

を参照ください

Powered BLUEのセットアップ

Powered BLUE プライベートCA & リバースプロキシは、どの場所で運用しても構いません

自社の仮想環境で運用の場合には、

  • VMware/Hyper-Vなどへ仮想アプライアンスイメージ

をインポーします

Amazon AWS上でPowered BLUE プライベートCAを運用する場合には、

Cloudnをはじめ、Cloudstack上でPowered BLUE プライベートCAを運用する場合には、

を参照してください。

 

プライベートCAの設定

仮想サイトで、Powered BLUEのプライベートCA機能を有効にして、この仮想サイトの「CA証明書の新規作成」をします。

SSLクライアント証明書発行

Powered BLUE プライベートCAで、この仮想サイトのSSLクライアント証明書を発行します

SSLクライアント証明書のダウンロード

SSLクライアント証明書は、利用するブラウザにインストールします

SSLクライアント認証の有効化

[クライアント認証を有効にする] ことで、このPowered BLUE の仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、SSLでownCloudのサーバーへアクセスが出来ます。

例 https://PrivateCA の仮想サイト/xx

リバースプロキシ設定&有効化

プライベート認証局のこの仮想サイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したownCloudのサーバーへリダイレクトさせます。

例 https://PrivateCAのサイト/ownCloud/   -> http://www.zyx.co.jp/ownCloud/

SSLクライアント証明書のブラウザへのインストール(Firefoxの場合)

「証明書を表示」をクリック

「あなたの証明書」のインポートをクリック

SSLクライアント証明のパスワード入れてインストールします

正常にインポート時の表示

証明書マネージャーにインストールしたクライアント証明書が表示されます

ニ要素認証での運用

  • SSLクライアント証明書による認証
  • ID/パスワードによる認証

 

ownCloudへアクセス

ownCloudのサーバーは、適宜ご用意ください

  • https://xxx.yyy.zzz.uuu/owncloud

OKボタンを押すと、SSLクライアント認証後にownCloudのアクセス画面が表示されます。

有効なSSLクライアント証明書の無い場合

アクセスが拒否されます

ownCloudのログイン画面

SSLクライアント証明書が有効な場合、ログイン画面が表示されます

オブジェクトストレージの設定

ownCloud からAmazon AWSのサービスの一つであるS3のオブジェクトストレージを利用する方法は以下のようになります。ownCloudの稼働場所は、どこでも構いません。

構成例

  • Object Storage         Amazon S3

Amazon S3の設定

アマゾンマネージメントコントールからS3を選択します

「Create Backet」でownCloudにアサインするバケットを作成します

例 バケット名 amazon-object-storage1

Amazon AWSのアクセスキーIDとシークレットキーIDを入手します

  • アクセスキーIDが無い場合には、新規にアクセスキーIDを作成します。
  • アクセスキーIDとペアのシークレットキーIDは、作成時のみ表示されます。
  • シークレットキーIDを紛失の場合には、アクセスキーIDから新規に作成する必要があります。
  • キーは2ペアまでしか作成できません。
  • 3ペア目以降を作成の場合には、以前に発行済のキーペアを削除してから発行をします。

ownCloud の「External Storage support」を有効にします

Amazon S3互換のストレージを追加します

 

  • フォルダ名 (例 Amazon-S3 )
  • アクセスキーID
  • シークレットキーID
  • パケット名 (例 amazon-object-storage1 )
  • SSLアクセスの設定 (例 有効 )
  • Amazon S3へアクセス許可をするユーザー ( 例 ocroot  )

設定が反映されて接続が有効になると、フォルダ名の左側の〇がグリーンに変わります

ownCloudのGUIでの表示

https://xyz.mubit.com/owncloud へアクセス

ownCloudのGUIからはAmazonS3のオブジェクト・ストレージのフォルダー(Amazon-S3)が表示されています

 

デモサーバー

Powered BLUEの  デモサーバー

基本操作 /  リバースプロキシ /  SSLクライアント認証 などのデモが出来ます

 

ワンタイムパスワード認証

Webのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。

https://www.mubit.co.jp/sub/products/blue/img2/otp-21.png

 

多要素認証

ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です

 

終わりに

ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。