オブジェクトストレージに、Webブラウザによるhttps及びSSLクライアント認証経由でアクセスさせる方法を解説します。

SSLクライアント認証でownCloudへのアクセスを行います。さらにownCloudから外部ストレージとして、オブジェクトストレージ（Amazon S3)を利用します。今回はプライベートCAサーバーとownCloudの運用サーバーを1台（同一サーバー）で行う場合の例です。

この構成では、オンラインストレージ(ownCloud) とオブジェクトストレージ(Amazon S3)へのアクセスをWebによるSSLクライアント証明書（SSLクライアント認証）とID&パスワードによる2要素認証を利用しての運用が出来ます。

必要なものは

• Powered BLUE プライベートCA　（CA & ownCloud を運用)
• Amazon AWS　S3　（オブジェクトストレージを利用）

です。

プライベートCAとownCloudを異なるサーバーで運用する場合には

• プライベートCAとownCloudを異なるサーバーで運用

を参照ください。

 

Powered BLUEのセットアップ

Powered BLUEサーバーは、どの場所で運用しても構いません

自社の仮想環境で運用の場合には、

• VMware/Hyper-Vなどへ仮想アプライアンスイメージ

をインポーします

AWS上でPowered BLUE プライベートCA & ownCloudを1台で運用する場合には、

• AWSへ登録の　Powered BLUE　AMI　を選択

で簡単に運用出来ます

 

CloudnやCloudstack上でPowered BLUE プライベートCAを運用する場合には、

• Cloudstackへのイメージのインポート

を参照してください。

 

Powered BLUEPへのownCloud　セットアップ

Powered BLUE サーバーには、フリープラグイン方式でオープンソース版のownCloudを簡単にインストールすることが出来ます。ownCloudのインストール方法は、

• ownCloudの簡単インストール

を参照してください。

 

プライベートCA

ownCloudを運用している仮想サイトのSSLを有効にします

プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、１ユーザーごとの個別の発行が出来ます

SSLクライアント証明書を個別発行の場合（1枚発行の場合）

例　suzuki@mubit.com ユーザーのクライアント証明書を作成

有効期限などを指定して発行します

SSLクライアント証明書をダウンロードします

SSLクライアント証明書のブラウザへのインストール(Firefoxの場合）

「証明書を表示」をクリック

「あなたの証明書」のインポートをクリック

SSLクライアント証明のパスワード入れてインストールします

正常にインポート時の表示

証明書マネージャーにインストールしたクライアント証明書が表示されます

ニ要素認証での運用

• SSLクライアント証明書による認証
• ID/パスワードによる認証

 

ownCloudへアクセス

• https://xxx.yyy.zzz.uuu/owncloud

OKボタンを押すと、SSLクライアント認証後にownCloudのアクセス画面が表示されます.

有効なSSLクライアント証明書の無い場合

アクセスが拒否されます

 

ownCloudのログイン画面

SSLクライアント証明書が有効な場合、ログイン画面が表示されます

 

オブジェクトストレージの設定

ownCloud からAmazon AWSのサービスの一つであるS3のオブジェクトストレージを利用する方法は以下のようになります。ownCloudの稼働場所は、どこでも構いません。

構成例

• Object Storage       　 Amazon S3

Amazon S3の設定

アマゾンマネージメントコントールからS3を選択します

「Create Backet」でownCloudにアサインするバケットを作成します

例　バケット名　amazon-object-storage1

Amazon　AWSのアクセスキーIDとシークレットキーＩＤを入手します

• アクセスキーIDが無い場合には、新規にアクセスキーIDを作成します。
• アクセスキーIDとペアのシークレットキーIDは、作成時のみ表示されます。
• シークレットキーIDを紛失の場合には、アクセスキーIDから新規に作成する必要があります。
• キーは2ペアまでしか作成できません。
• 3ペア目以降を作成の場合には、以前に発行済のキーペアを削除してから発行をします。

ownCloud の「External Storage support」を有効にします

Amazon S3互換のストレージを追加します

• フォルダ名　(例　Amazon-S3 )
• アクセスキーID
• シークレットキーID
• パケット名 （例　amazon-object-storage1 )
• SSLアクセスの設定　（例　有効 )
• Amazon S3へアクセス許可をするユーザー　(　例　ocroot　 )

設定が反映されて接続が有効になると、フォルダ名の左側の〇がグリーンに変わります

ownCloudのGUIでの表示

https://xyz.mubit.com/owncloud へアクセス

ownCloudのGUIからはAmazonS3のオブジェクト・ストレージのフォルダー(Amazon-S3)が表示されています

 

ownCloudのバックアップ

• ownCloudのバックアップについて

ownCloudのロゴを自社専用のロゴへ変更

• ownCloudのロゴを変更

 

 

AWS上でowncloud と Private CAを運用したい場合には

• AWSへ登録の　Powered BLUE　AMI　を選択

で簡単に運用出来ます

 

デモサーバー

Powered BLUEの　　デモサーバー

 

ワンタイムパスワード認証

owncloudのWebサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。

• ワンタイムパスワード認証Webの構築&運用

 

多要素認証

ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です

• OTP & SSLクライアント認証の併用Webの構築&運用