Bei vielen Administratoren geht es gerade drunter und drüber. Die Geschäftsleitungen entscheiden kategorischen Rückzug aus der Cloud. Das Vertrauen in die Cloud ist verständlicherweise in ein tiefes Loch gefallen. Datenschützer haben sich zuletzt gegen die Nutzung der Cloud-Dienste ausgesprochen – rein rechtlich gesehen ist das Ende der Public Cloud da (Link). Viele holen Daten zurück und versuchen mit ihrer hauseigenen Infrastruktur ähnliche Dienste für ihre Mitarbeiter bereitzustellen. Doch das ist meist gar nicht so leicht. Dropbox kann jedoch schnell ersetzt werden. Mit ein paar Einschränkungen.
Dropbox hat uns lange Zeit begleitet. Die Preismodelle waren adäquat und die Stabilität erstklassig. Selten hat sich Dropbox hinsichtlich der Sicherheit einen offensichtlichen Patzer geleistet und zuletzt sogar die 2-Faktor-Authentifizierung eingeführt. Sicherlich kann man schwer hinter die Kulissen schauen, doch für den Anwender ist die Erfahrung zunächst einmal perfekt: Einrichten, läuft. Wem das Limit nicht passt, hat die Möglichkeit aufzustocken. Administratoren waren Dropbox-Anwender jedoch ein Dorn im Auge, die administrative Kontrolle über Freigaben ist bei Dropbox schlicht nicht möglich.
Meine Erfahrungen mit Owncloud und Windows-IIS
Auch wenn die Owncloud Community selbst nicht sonderlich hilfreich (teilweise sogar unhöflich) ist, und die Dokumentation im Bereich Windows-IIS patzt, so kommt die Installation mit ein wenig Fachkenntnis doch recht schnell zum Ziel. Trotzdem – ich hätte einige Minuten sparen können, wäre die Dokumentation eindeutiger – und das ärgert mich. Da ich grundsätzlich IIS für Webanwendungen (auch Open Source) einsetze, kommt für mich auch kein Apache-Derivat in Frage. Meine Erfahrungen sind recht simpel: Ich installiere, wie viele, PHP 5.4 und mySQL über den Microsoft WPI für IIS auf Server 2008R2. Dabei entstehen allerdings folgende, in deutsch schlecht dokumentierte Aufgaben bei der Verwendung von Owncloud:
//IIS Allgemein
Es darf nur ein bei den Betriebssystemen vertrauenswürdiger, öffentlicher Schlüssel verwendet werden. Es kann eine deutsche PKI genutzt werden. Die eigene PKI kann bei den derzeitigen Versionen der Clienttools, insbesondere iOS nicht verwendet werden.
Wer WebDAV auf seinem Server bereits benutzt, kann Owncloud nicht nutzen. Der Rollendienst WebDAV muss komplett deaktiviert werden.
//Datenbank Allgemein
Owncloud kann auch auf Microsoft SQL Datenbanken aufsetzen, sofern die zugehörige PHP-Erweiterung installiert ist. Die vorgeschlagene Verwendung des Parameters „localhost“ ist eine Performancebremse und sollte bei lokalem mySQL in jedem Fall bei Windows-PHP gegen 127.0.0.1 getauscht werden.
//IIS-Manager/Standardwebseite/Anforderungsfilter/Featureeinstellungen bearbeiten:
Es sollte die maximal zulässige Inhaltslänge definiert werden – Auf Bytegröße achten – Owncloud empfiehlt einen Wert von 4,1 GB.
//IIS-Manager/Standardwebseite/Handlerzuordnungen:
Es muss der PHP Handler korrigiert werden hinsichtlich ausführbare Datei. Die Einschränkungen bei Owncloud V5 muss ich – anders als dokumentiert – nicht anpassen, es kann bei den Verben GET, HEAD, POST bleiben.
//IIS-Manager/Standardwebseite/MIME-TYP
Es muss SVG definiert werden
//IIS-Manager/Standardwebseite/PHP-Manager/PHP Erweiterungen
Es muss php_fileinfo.dll aktiviert werden
//(..)/php.ini
Es sollten die Dateigrößenbeschränkungen auf 2G definiert werden (upload_max_filesize und post_max_size), ansonsten ist PHP bereits durch den WPI halbwegs richtig konfiguriert.
Weitere Empfehlungen
Das Verzeichnis für die Daten sollte in keinem Fall ein Unterverzeichnis der Webanwendung sein. Der Benutzer IUSR (oder der für die Webanwendung benutzte Anwender) benötigt in jedem Fall Schreibzugriff auf das Verzeichnis ./Owncloud/Config, ./Owncoud/apps und das Datenverzeichnis, welches sich (dringend) außerhalb der IIS-Freigabe befindet. Ich empfehle, für Owncloud einen eigenen Anwendungspool anzulegen, sowie eine gesonderte, virtuelle Anwendung für die Nutzung des neuen Anwendungspools. Sollte Windows-EFS-Verschlüsselung für die Datenverzeichnisse verwendet werden, ist die Änderung der Grundeinstellung der Webseite (Benutzer für den Zugriff auf das Datenverzeichnis und Webanwendung) zu definieren und der Schlüssel vorab zu definieren.
Patzer bei der Verschlüsselung am Server
Da Owncloud’s hauseigene Verschlüsselung public und private Key selbst verwaltet, ist deren Nutzung komplett obsolet. Ob dies jetzt auch für andere Applikationen, wie z.B. Dropbox zutrifft, lasse ich mal als Diskussion für die Allgemeinheit offen. Weiterhin führt die neue Owncloud-Verschlüsselungsapp zu Problemen, wenn die Verschlüsselung fehlschlägt. Dies ist mangels richtig registrierter Module in Windows-Umgebungen sofort der Fall. Die Verschlüsselung lässt sich nur über die mySQL Kommandozeile deaktivieren, die Einstellungen befinden sich in der Tabelle „oc_appconfig“, appid=’filesencryption‘, die Spalte configvalue sollte auf false oder 0 gesetzt werden. Das Problem ist in Bugeintrag 3629 beschrieben. Ich rate also von der hauseigenen Verschlüsselung ab, solange der Anwender keine eigenen Schlüssel definieren kann und empfehle EFS, diesen Vorteil habe ich allerdings nur auf Windows Servern, bestimmt gibt’s bei Linux ebenso adäquate Mittel und Wege.
Vorteile bei der Authentifizierung:
Es kann LDAP für die Authentifizierung verwendet werden. Ich kann mir so die doppelte Nutzerpflege sparen. Die Definition von CN=canonical sieht Owncloud hier und da etwas anders, so dass im zumindest für diesen Bereich gut gestalteten Handbuch nachgeschlagen werden kann.
Nutzererfahrung:
Die Nutzererfahrung ist simpel: Es gibt sie nämlich fast gar nicht. Die IOS oder Android Applikation ist im Nu konfiguriert und auch Windows und Mac Anwendungen sind Dropbox in vielem auf Augenhöhe, allerdings nicht in allen Punkten.
Gute iOS App (79ct.) dropbox like – mit gutem Viewer und Browser
Nachteile bei der Clientapplikation:
Die gibt’s leider auch. Dropbox kann im lokalen Netz mit Clients desselben Nutzers kommunizieren und verlagert so einen Großteil der Synchronisation auf lokalen Traffic. Das beschleunigt insbesondere die Erstsynchronisation. Bei DSL16000 habe ich knapp 2 Tage gebraucht, um die testweise eingerichtete Umgebung von knapp 9GB in meine Owncloud-Wolke zu verlagern. Das ist bei den meisten Owncloud Installationen sicherlich nicht ganz so schlimm, wenn der Server über das lokale Netz erreichbar ist, doch hinderlich, wenn man CoLo Server und DSL benutzt. Am UI-Design müsste Owncloud noch ein wenig arbeiten, Funktion ist allerdings gegeben.
Old fashioned, wenig Konfigurationsmöglichkeiten und leider ein farbiges Icon
Ich konnte 1Password und die Favoriten von RoyalTSX oder Transmit problemlos in Owncloud speichern, allerdings konnte ich z.B. 1Password so vom iPhone aus nicht bedienen, da 1Password wie viele andere (noch) nicht in Owncloud integrieren. 2-Factor fehlte noch, ebenso wie die Windows-Phone-App.
Sehr gut haben mir die Gruppeninteraktionen und die möglichen Freigabebeschränkungen gefallen. Freigaben lassen sich zusätzlich noch mit einem Passwort durch den Anwender beschränken. Das Webinterface ist sehr gut. Für den Anwender sind viele Funktionen sinnvoll und leicht verständlich, das Web-UI kann in Deutsch verwendet werden. Der Administrator kämpft hier und da noch mit einem zweideutigen UI, gewöhnt sich allerdings schnell dran. Apps lassen zusätzliche Tools freigeben, allerdings ist im Enterpriseumfeld mit vielen Roadwarriors wohl zunächst nur die Dateifreigabe interessant – und die funktioniert – sehr gut. Wer sich nicht mit Branchcache oder Offlinefreigabecaches streiten möchte, hat hier eine hervorragende Alternative – das ist mit Sicherheit der Grund warum viele Dropbox verwendet haben – und dort glänzt auch Owncloud. Selbst eine Revisionskontrolle und einen Papierkorb gibt es.
Sehr gute Freigabemöglichkeiten und übersichtliche Gestaltung des Web-UI
Fazit:
Owncloud ist sehr weit. In der aktuellen Fassung sehr stabil. Ich darf aufgrund der aktuellen, politischen Lage und aufgrund der Architektur (Patzer bei der serverseitigen Verschlüsselung) definitiv davon abraten, auf Hosted-Owncloud-Lösungen zurückzugreifen. Man sollte viel eher die Company-Connect-Leitung des Unternehmens für diesen Dienst im Zusammenspiel mit Windows-IIS benutzen. Dezentral und lokal (Private Cloud) wäre dann auch wieder die richtige Umsetzung des Internetgedankens, anstatt erneut auf Public Cloud zu setzen – deswegen auch Owncloud. Je eine Community und eine Enterpriselösung (paid SLA) ist verfügbar. Owncloud hat die derzeit die größten Chancen, Public Cloud in die Schranken zu verweisen, und das ist gut so. Es gibt noch eine Menge Entwicklungspotential und ich freue mich wirklich auf die nächsten Releases. Ich kann mich bereits jetzt sehr gut mit Owncloud anfreunden und werde mich nach weiteren Tests privat vollständig von Dropbox lösen.
Links:
Microsoft WPI
Owncloud (Community Edition)
Owncloud (Enterprise Edition)