オブジェクトストレージに、Webブラウザによるhttps及びSSLクライアント認証経由でアクセスさせる方法を解説します。
SSLクライアント認証でownCloudへのアクセスを行います。さらにownCloudから外部ストレージとして、オブジェクトストレージ(Amazon S3)を利用します。今回はプライベートCAサーバーとownCloudの運用サーバーを1台(同一サーバー)で行う場合の例です。
この構成では、オンラインストレージ(ownCloud) とオブジェクトストレージ(Amazon S3)へのアクセスをWebによるSSLクライアント証明書(SSLクライアント認証)とID&パスワードによる2要素認証を利用しての運用が出来ます。
必要なものは
- Powered BLUE プライベートCA (CA & ownCloud を運用)
- Amazon AWS S3 (オブジェクトストレージを利用)
です。
プライベートCAとownCloudを異なるサーバーで運用する場合には
を参照ください。
Powered BLUEのセットアップ
Powered BLUEサーバーは、どの場所で運用しても構いません
自社の仮想環境で運用の場合には、
- VMware/Hyper-Vなどへ仮想アプライアンスイメージ
をインポーします
AWS上でPowered BLUE プライベートCA & ownCloudを1台で運用する場合には、
で簡単に運用出来ます
CloudnやCloudstack上でPowered BLUE プライベートCAを運用する場合には、
を参照してください。
Powered BLUEPへのownCloud セットアップ
Powered BLUE サーバーには、フリープラグイン方式でオープンソース版のownCloudを簡単にインストールすることが出来ます。ownCloudのインストール方法は、
を参照してください。
プライベートCA
ownCloudを運用している仮想サイトのSSLを有効にします
プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、1ユーザーごとの個別の発行が出来ます
SSLクライアント証明書を個別発行の場合(1枚発行の場合)
例 suzuki@mubit.com ユーザーのクライアント証明書を作成
有効期限などを指定して発行します
SSLクライアント証明書をダウンロードします
SSLクライアント証明書のブラウザへのインストール(Firefoxの場合)
「証明書を表示」をクリック
「あなたの証明書」のインポートをクリック
SSLクライアント証明のパスワード入れてインストールします
正常にインポート時の表示
証明書マネージャーにインストールしたクライアント証明書が表示されます
ニ要素認証での運用
- SSLクライアント証明書による認証
- ID/パスワードによる認証
ownCloudへアクセス
- https://xxx.yyy.zzz.uuu/owncloud
OKボタンを押すと、SSLクライアント認証後にownCloudのアクセス画面が表示されます.
有効なSSLクライアント証明書の無い場合
アクセスが拒否されます
ownCloudのログイン画面
SSLクライアント証明書が有効な場合、ログイン画面が表示されます
オブジェクトストレージの設定
ownCloud からAmazon AWSのサービスの一つであるS3のオブジェクトストレージを利用する方法は以下のようになります。ownCloudの稼働場所は、どこでも構いません。
構成例
- Object Storage Amazon S3
Amazon S3の設定
アマゾンマネージメントコントールからS3を選択します
「Create Backet」でownCloudにアサインするバケットを作成します
例 バケット名 amazon-object-storage1
Amazon AWSのアクセスキーIDとシークレットキーIDを入手します
- アクセスキーIDが無い場合には、新規にアクセスキーIDを作成します。
- アクセスキーIDとペアのシークレットキーIDは、作成時のみ表示されます。
- シークレットキーIDを紛失の場合には、アクセスキーIDから新規に作成する必要があります。
- キーは2ペアまでしか作成できません。
- 3ペア目以降を作成の場合には、以前に発行済のキーペアを削除してから発行をします。
ownCloud の「External Storage support」を有効にします
Amazon S3互換のストレージを追加します
- フォルダ名 (例 Amazon-S3 )
- アクセスキーID
- シークレットキーID
- パケット名 (例 amazon-object-storage1 )
- SSLアクセスの設定 (例 有効 )
- Amazon S3へアクセス許可をするユーザー ( 例 ocroot )
設定が反映されて接続が有効になると、フォルダ名の左側の〇がグリーンに変わります
ownCloudのGUIでの表示
https://xyz.mubit.com/owncloud へアクセス
ownCloudのGUIからはAmazonS3のオブジェクト・ストレージのフォルダー(Amazon-S3)が表示されています
ownCloudのバックアップ
ownCloudのロゴを自社専用のロゴへ変更
AWS上でowncloud と Private CAを運用したい場合には
で簡単に運用出来ます
デモサーバー
Powered BLUEの デモサーバー
ワンタイムパスワード認証
owncloudのWebサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。
多要素認証
ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です
終わりに
ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方。既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。