ownCloud – eine Private Cloud für Unternehmen

Das Thema Cloud ist in aller Munde. Doch viele Unternehmen in Deutschland zögern noch, Teile ihrer Daten und Geschäftsprozesse in die Cloud auszulagern. Ein Grund dafür ist die von Edward Snowden ans Tageslicht gebrachte massenhafte Überwachung durch den amerikanischen Geheimdienst NSA, ein anderer allgemeine Sicherheitsbedenken und die Angst vor Datenverlust.

Als Lösung bietet sich eine Private Cloud an. Dabei läuft der Cloud-Server on Premise auf unternehmenseigener Hardware. So ist gewährleistet, dass das Unternehmen stets die Hoheit über seine Daten behält. Geeignet für eine solche Private Cloud ist ein Server mit ownCloud. ownCloud Enterprise Edition basiert auf der kostenlosen Community Edition, ist jedoch mit vielen Funktionen für Unternehmensanforderungen angereichert. Mit der Funktion Federated Cloud etwa lassen sich bequem Daten zwischen verschiedenen ownCloud-Servern austauschen, die beispielsweise in mehreren Filialen eines Unternehmens stehen. Die SharePoint-Integration und die Einbindung von Windows-Netzlaufwerken sind ebenfalls der Enterprise Edition vorbehalten.

Voraussetzung für einen ownCloud-Server ist ein Linux-Server etwa mit SLES oder Debian als Betriebssystem und einem Apache-Webserver 2.4 mit PHP 5.4 oder neuer. Kosten: Für 50 Nutzer beispielsweise liegen sie bei rund 9000 Euro pro Jahr.

Wenn sich ein Unternehmen entschieden hat, einen Server mit ownCloud zu betreiben, ist der Administrator gefragt. Er übernimmt die Einrichtung und die Konfiguration.

ownCloud gibt es in den Versionen Community Edition, Standard Subscription und Enterprise Edition. Die Community Edition bildet die Basis. Die Standard Subscription ist für Kunden vorgesehen, die für Support bezahlen wollen, aber die Enterprise-Anwendungen nicht benötigen.

Die Enterprise Edition beziehungsweise Enterprise Sub­scription enthält den Core-Server, den Support und die Enterprise-Applikationen. Dazu gehören Apps und Funktionen wie Security Assertion Markup Language (SAML), File Firewall, SharePoint-Integration, Logging, LDAP und viele mehr. Ebenso dabei sind der ownBrander, mit dem sich mobile Apps branden lassen, sowie eine Lizenz für Closed-Source-Anpassungen. Der Support erfolgt rund um die Uhr sieben Tage in der Woche.

Der vom Hersteller empfohlene Weg, ownCloud Enterprise Edition zu installieren, führt über den Paket-Manager des Linux-Systems. Wie man darin das korrekte Repository einrichtet, steht in der Datei „Installation.txt“ im owncloud.com-Konto.

Anschließend importieren Sie den Lizenzschlüssel und installieren ownCloud wie jede andere Software. Der Installation Wizard führt Sie durch die weiteren Schritte. Zunächst erstellen Sie einen Benutzernamen und ein Passwort für das Administrator-Konto. Dann wählen Sie die gewünschte Datenbank aus, etwa MySQL, MariaDB oder PostgreSQL. Damit ist die Installation abgeschlossen, und Sie können sich über das Webinterface als Administrator anmelden.

Gleich nach der Installation sollten Sie die Dateizugriffsrechte regeln. Um maximale Sicherheit zu garantieren, gehen Sie dabei möglichst restriktiv vor. Alle Dateien im ownCloud-Ordner auf dem Server sollten Schreib- und Leserechte für den Besitzer haben, Leserechte für den Gruppenbesitzer und keine Rechte für alle übrigen Mitarbeiter.

Für die Verzeichnisse gilt das Gleiche, sie sollten jedoch zudem ausführbar sein. Die Verzeichnisse „config“, „data“ und „apps“ müssen dem HTTP-User gehören.

Einer der Vorzüge von ownCloud ist die Flexibilität. Zahlreiche Apps erweitern das Funktionsspektrum nach dem individuellen Bedarf. Zu den vorinstallierten und aktivierten Apps gehört ein Anti­virenprogramm, eine Firewall und ein LDAP-Backend.

Installiert, aber nicht aktiviert ist etwa die SharePoint-Funktionalität. Dazu kommen Hunderte Apps aus der Community, die sich nachinstallieren lassen.

Um die Apps zu verwalten, müssen Sie als Administrator angemeldet sein. Dann klicken Sie neben der Wolke oben links auf den Pfeil. Es erscheint ein kleines Menü, in dem Sie „Apps“ auswählen. Nun können Sie hier Apps installieren, aktivieren oder deaktivieren.

Zur Benutzerverwaltung gelangen Sie als Administrator, indem Sie rechts oben auf den Pfeil neben Ihrem Benutzernamen klicken und dann aus dem Menü den Eintrag „Benutzer“ auswählen.

Hier können Sie neue Benutzer anlegen und bestehende bearbeiten, sie in Gruppen einsortieren und filtern oder einen Benutzer mit einem Klick löschen.

Um einen neuen Benutzer anzulegen, füllen Sie einfach die Felder oberhalb der Benutzerliste aus, also Benutzername, Passwort und falls gewünscht eine Gruppenzuge­hörigkeit.

Nach einem Klick auf „Anlegen“ tragen Sie bei Bedarf den vollständigen Benutzernamen ein, machen ihn zum Administrator einer Gruppe oder weisen ein Daten-Quota zu. Gruppen-Administratoren dürfen innerhalb ihrer Gruppe neue Benutzer anlegen, bearbeiten und löschen, aber keine Systemeinstellungen verändern oder auf Benutzer außerhalb der Gruppe zugreifen. Passwörter lassen sich übrigens nicht mehr auslesen, aber über das Bleistiftsymbol daneben erneuern.

Um einen Benutzer zu löschen, klicken Sie auf das Müll­eimersymbol ganz rechts. Alle Dateien, die diesem Benutzer gehören oder die er geteilt hat, werden dabei ebenfalls gelöscht.

Abschließend tragen Sie im Menüpunkt „Persönlich“ Ihre E-Mail-Adresse ein. Die brauchen Sie für Benachrichtigungen aller Art und für den Fall, dass Sie Ihr Admin-Passwort vergessen.

Benutzer können Daten innerhalb ihrer Gruppe und mit Benutzern auf demselben ownCloud-Server teilen oder öffentlich mit Benutzern, die ownCloud nicht verwenden.

Bei Ihnen als Admin liegt es, die Rechte zu verteilen und für die nötige Sicherheit zu sorgen. Dazu wechseln Sie in das Menü „Administration“ und dort in den Abschnitt „Teilen“.

Hier legen Sie detailliert fest, wer was teilen darf. So können Sie etwa einen Passwortschutz erzwingen oder den Nutzer verpflichten, ein Verfallsdatum festzulegen. Auch ist es möglich, das Teilen nur innerhalb von Gruppen zu erlauben oder aber öffentliche Uploads zu erlauben.

Die maximale Größe für Uploads beträgt 512 MByte. Dieser Wert lässt sich bei Bedarf anpassen, unterliegt aber den Begrenzungen des Dateisystems.

Eine Möglichkeit, den Wert zu ändern, ist die Bearbeitung der Datei „.htaccess“. Sie liegt im Verzeichnis „/srv/www/htdocs/owncloud“. Öffnen Sie die Datei etwa mit dem Editor vi und bearbeiten Sie die beiden Zeilen php_value upload_max_filesize 512M und php_value post_max_size 512M. Tragen Sie den gewünschten Wert ein. Wenn Sie einen komfortableren Editor verwenden wollen, dann installieren Sie zum Beispiel nano nach.

Eine neue Funktion in ownCloud Enterprise Edition 8.0.3 nennt sich Files Drop und ermöglich es jedem, Daten anonym in ein bestimmtes Verzeichnis auf dem Server hochzuladen. Dazu ist nur ein Mausklick nötig und der Nutzer muss nicht eingeloggt sein. Allerdings ist es ihm nicht möglich, den Inhalt des Verzeichnisses zu sehen oder zu ändern. Diese Funktion ersetzt gewissermaßen einen FTP-Server.

Files Drop ist eine App. Demzufolge aktivieren Sie die Funktion als Administrator im App-Menü. Suchen Sie „Files Drop“ unter „Nicht aktiviert“ und klicken Sie dann auf „Aktivieren“.

Fortan finden alle Benutzer in ihrem „Persönlich“-Me­­nü den neuen Eintrag „Files Drop“. Mit einem Klick auf „Choose“ lässt sich dann ein Ordner für anonyme Uploads festlegen. Anschließend ist die URL zu sehen, über die der Upload erfolgt. Wenn die URL im Browser eingegeben wird, dann startet ein Klick auf „Upload file“ einen Dateiauswahldialog. Nach Auswahl der Datei genügt ein Klick auf „Öffnen“, um sie auf den Server hochzuladen.

Die App „File Locking“ sorgt dafür, dass ownCloud automatisch Dateien sperrt, die gerade auf dem Server gelesen oder geschrieben werden.

Um die Funktion Federated Cloud Sharing zu aktivieren, setzen Sie im gleichnamigen Abschnitt Häkchen für die beiden aufgeführten Optionen.

ownCloud enthält eine App zur serverseitigen Verschlüsselung. Sie verschlüsselt sämtliche Dateien auf dem ownCloud-Server und zudem alle Dateien auf damit verbundenen entfernten Speicherplätzen wie Dropbox. Bevor Sie die Funktion aktivieren, sollten Sie einiges bedenken: Verschlüsselte Dateien sind signifikant größer als unverschlüsselte.

Entsprechend müssen Sie gegebenenfalls die Quotas der Benutzer anpassen. Verschlüsselte Speicherplätze wie Dropbox lassen sich nur noch über ownCloud verwenden, da die Entschlüsselung auf dem ownCloud-Server erfolgt. Die Passwortwiederherstellung funktioniert dann nur noch über das Wiederherstellungspasswort des Admins – anzulegen im Bereich „Serverseitige Verschlüsselung“.

Wenn Sie die App „Server-side Encryption“ aktivieren, dann müssen Sie sich einmal aus- und wieder einloggen. Die App erzeugt einen Schlüssel und verschlüsselt damit alle Datei-Inhalte. Das dauert bei großen Datenmengen mitunter einige Stunden. Für die Benutzer ändert sich nichts. Allerdings durchlaufen ihre Daten bei der nächsten Anmeldung einmalig ebenfalls den Verschlüsselungsvorgang.

Die App „External storage support“ ermöglicht es, externe Speicher wie Dropbox, Amazon S3 und Google Drive zu ownCloud hinzuzufügen.

Nachdem Sie die App aktiviert haben, setzen Sie auf der Administrator-Seite Häkchen für all jene Speicher, die Benutzer hinzufügen dürfen.

Die Konfiguration der jeweiligen Speicherdienste ist sehr unterschiedlich. Konsultieren Sie dafür die ownCloud-Dokumentation. Um über WebDAV auf Daten auf dem Server zuzugreifen, klicken Sie auf das Zahnradsymbol links unten. Sie erhalten eine URL, mit der Sie Server-Zugriff über WebDAV erhalten.

Als Admin haben Sie Zugang zu den Log-Dateien von ownCloud. Auf der Administrator-Seite finden Sie ganz unten den Eintrag „Log“. Hier sehen Sie die letzten Meldungen und können sich die gesamte Log-Datei herunter­laden. Bei „Loglevel“ lässt sich einstellen, dass Sie etwa nur Fehler und fatale Probleme sehen, nicht aber Infos und Warnungen.

Nachdem der Administrator alles eingerichtet und die Konfiguration vorgenommen hat, kommt der Benutzer ins Spiel. Er lädt zunächst den Desktop-Client von der ownCloud-Seite herunter. Die Einrichtung ist weitgehend selbsterklärend. Zusätzlich stehen Apps für Android und iOS im jeweiligen Store zur Verfügung.

Im Webinterface meldet sich der Benutzer mit den Daten an, die ihm der Administrator mitgeteilt hat. Wenn man auf den Pfeil neben dem Benutzernamen klickt, dann gelangt man über „Persönlich“ zu den eigenen Einstellungen. Zu den persönlichen Informationen gehören Passwort, Name, E-Mail-Adresse und Profilbild. Zudem sieht man, wie viel Platz die eigenen Daten belegen.

Weiter unten lassen sich Benachrichtigungen einrichten, etwa wenn eine Datei gelöscht, geteilt oder geändert wird. Falls Files Drop und externer Speicher aktiviert sind, sieht man als Benutzer hier die entsprechenden Einstellungen und kann sie an die eigenen Anforderungen anpassen.

Um eine Datei zu teilen, wechselt man in die Dateien-Ansicht und bewegt den Mauszeiger über die entsprechende Datei. Dann klickt man auf „Teilen“. Nun lässt sich ein Benutzer eintragen oder ein Link erzeugen. Diesen kann man optional mit einem Passwort und mit einem Ablaufdatum versehen.