打造面向ownCloud的双因子验证系统

ownCloud这个系统用来存储你本人或你公司不在别人计算机(即“云端”)的数据，而是在你自己的归自己控制的计算机上的数据。privacyIDEA这个系统用来为你自己网络中、而不是任何身份提供者的双因子验证管理验证设备，因而可以让你牢牢控制你的身份及用户的身份。

[[138812]]

前提条件

假设你已经让ownCloud 8系统搭建并运行起来。外头有一些相当好的例子。你还可以在该网站上看一下这篇文章：https://www.howtoforge.com/tutorial/how-to-install-owncloud-8-with-nginx-and-mariadb-on-centos-7/，介绍了如何安装ownCloud 8以及nginx。

另外，我还假设你在运行一个privacyIDEA系统。本文并不涉及privacyIDEA的安装。你可以在这里找到一篇文章：https://www.howtoforge.com/two-factor-authentication-with-otp-using-privacyidea-and-freeradius-on-centos，介绍如何将privacyIDEA安装到CentOS上，你也可以使用说明文档处的安装指示：http://privacyidea.readthedocs.org/en/latest/installation/index.html。

务必要注意：你不需要在同一台服务器上运行privacyIDEA和ownCloud。如果将privacyIDEA作为验证系统安装在一台服务器上，再对照该privacyIDEA配置ownCloud等其他应用程序，就能充分发挥这套系统的潜力。这还包括这个优势：你不需要为ownCloud管理验证设备，不需要为第二个应用程序管理验证设备，不需要为第三个应用程序管理验证设备，以此类推。你会发现，如果你有几个应用程序，又有两个以上的用户，这个解决方案体现了其优势。不过当然，它在规模较小的场景下自然也适用。

务必要注意：ownCloud privacyIDEA应用程序处于早期开发阶段。所以你给予的任何反馈都受到热烈欢迎，将有助于改善这个工具。欢迎通过(https://github.com/privacyidea/privacyidea/issues)或通过谷歌群组(https://groups.google.com/forum/#!forum/privacyidea)给予反馈。

将privacyIDEA连接到ownCloud数据库

准备数据库

privacyIDEA确实有一个条件。ownCloud用户必须为privacyIDEA所熟知，或者privacyIDEA为ownCloud用户所熟知，你在privacyIDEA中分配令牌的用户也必须在ownCloud中。

你可以运行这样一种环境：你的用户位于LDAP目录中，不过在该例子中，我们只是使用现有的ownCloud SQL用户表。

务必要注意：如果你在不同的服务器上运行privacyIDEA和ownCloud，就需要授予访问SQL数据库的权限。如果是MySQL/MariaDB，你需要相应改动/etc/mysql/my.cnf中的绑定地址，就像这样：

bind-address = 0.0.0.0

此外，你还需要增添基于MySQL的访问权限：

grant all privileges on owncloud.* to “ocuser”@”privacyIDEA-Server” identified by “password”;

现在，MySQL用户“ocuser”就可以从privacyIDEA服务器访问ownCloud服务器上的数据库了。

提醒：通往MySQL服务器的网络流量未经过加密。如果你面临的是这种场景，我们强烈建议安装TLS。

将privacyIDEA连接到ownCloud

构建用户解析器(User Resolver)

现在我们将privacyIDEA连接到ownCloud，那样privacyIDEA就能知道用户。我们在Config(配置)→ Users(用户)处，创建一个新的用户解析器。

你可以点击按钮ownCloud，它应该会预设数据库属性映射中的所有必要字段。

然后，你可以点击Test SQL Resolver(测试SQL解析器)，可以看看是否一切正常。

构建范围

现在你可以进入到Config(配置)→ Realms(范围)，即可从解析器创建一个默认范围。

你现在应该会看到选项卡Users(用户)中的ownCloud用户，能够为这些用户登记令牌。

登记谷歌验证器

privacyIDEA支持一系列广泛的令牌，你可以在此找到：http://privacyidea.readthedocs.org/en/latest/configuration/tokens/supported.html。

我们会迅速登记谷歌验证器(Google Authenticator)，以此作为一个简单的例子。

进入到用户视图，选择一个用户，即可查看用户详细信息。你在这里可以点击按钮Enroll New Token(登记新令牌)。

在登记对话框中，你可以选择令牌类型;视令牌类型而定，你需要输入不同的详细信息。不过在这个例子中，我们使用了默认令牌类型HOTP。在页面底部，你可以输入OTP PIN。

点击Enroll Token(登记令牌)。

令牌已登记，你会看到一个二维码，可以用谷歌验证器应用程序来扫描该二维码。

其他令牌类型以其他方式来登记，这不在本教程的探讨范围之内。想了解更多信息，请参阅privacyIDEA说明文档：http://privacyidea.readthedocs.org/en/latest/configuration/token_config.html。

好了，ownCloud用户已被分配了令牌。你可以为其他的ownCloud用户重复这个过程。

获得ownCloud应用程序

首先，你需要下载ownCloud privacyIDEA应用程序。

你可以在此下载该应用程序：https://github.com/privacyidea/privacyidea/tree/master/authmodules/ownCloud。需要将目录user_privacyidea拷贝到你的ownCloud directory apps/。假设你已将ownCloud安装到/var/www/owncloud，那样你***会看到类似这样的结构：

root@owncloud:~# ls /var/www/owncloud/apps/user_privacyidea/ -l

-rw-rw-r– 1 root root 1671 Jun 25 15:05 adminSettings.php

drwxrwxr-x 2 root root 4096 Jun 25 15:17 appinfo

drwxrwxr-x 2 root root 4096 Jun 25 15:17 img

drwxrwxr-x 2 root root 4096 Jun 25 15:17 js

drwxrwxr-x 2 root root 4096 Jun 25 15:17 lib

drwxrwxr-x 2 root root 4096 Jun 25 15:17 templates

privacyIDEA应用程序已安装成ownCloud用户后端程序，将充当你现有的用户后端程序的覆盖层，能够直接处理验证请求，为登录机制添加第二个因子。

配置ownCloud应用程序

进入到Apps → not Enabled，启用该应用程序。

然后进入到Your User → Admin，配置privacyIDEA应用程序。

你需要提供privacyIDEA服务器的URL。你应该运行使用可行证书的privacyIDEA服务器。如果在安装过程中，你没有可信证书，就不要勾选复选框Verify the SSL certificate of the privacyIDEA server(核实privacyIDEA服务器的SSL证书)。

为了避免将你锁在外面，你可以勾选复选框Also allow users to authenticate with their normal password(还允许用户用普通密码来验证)。这种情况下，如果privacyIDEA验证失败，可以对照底层的ownCloud用户后端程序来验证用户。在生产环境下，你应该不要勾选该复选框。

桌面客户端在一次性密码方面当然会有问题。如果你使用这种客户端，应该勾选复选框Allow API access to remote.php with static password(允许使用静态密码，通过API访问remote.php)。这种情况下，来自桌面客户端的验证请求(由remote.php负责识别)就不会对照privacyIDEA来验证，而是对照底层的用户后端程序来验证。

***，如果一切正常，你只要勾选复选核框Use privacyIDEA to authenticate the users(使用privacyIDEA来验证用户)，就可以激活双因子验证了。

登录进入到ownCloud

激活了privacyIDEA应用程序后，ownCloud的登录屏幕并不会出现变化。

想登录，你就需要输入用户名;在密码字段，你需要输入OTP PIN和谷歌验证器生成的OTP值。

英文：Two Factor Authentication for ownCloud