我假設(shè)你已經(jīng)有一個owncloud 8系統(tǒng)并運行。 那里有一些很好的例子。 你也可以看一下在本網(wǎng)站上如何安裝owncloud 8和nginx 。

另外我假設(shè)你正在運行一個privacyIDEA系統(tǒng)。 這個方法不包括privacyIDEA的安裝。 您還可以在Howtoforge中找到如何在CentOS上安裝privacyIDEA，也可以使用文檔中的安裝說明 。

請注意：您不需要在同一臺服務(wù)器上運行privacyIDEA和ownCloud。 在一個服務(wù)器上安裝privacyIDEA作為身份驗證系統(tǒng)，并根據(jù)此privacyIDEA配置其他應(yīng)用程序（如ownCloud），您將釋放此類設(shè)置的全部功能。 這還包括您不需要管理ownCloud的身份驗證設(shè)備，您的第二個應(yīng)用程序的身份驗證設(shè)備和第三個應(yīng)用程序的身份驗證設(shè)備等優(yōu)點。 你會看到，如果你有幾個應(yīng)用程序和兩個以上的用戶，這個解決方案證明了它的優(yōu)勢。 但當然也可以在較小的情況下工作。

請注意： ownCloud privacyIDEA應(yīng)用程序處于早期開發(fā)階段。 所以您提供的任何反饋都非常感謝，并將有助于改進此工具。 您可以通過github問題或通過Google群組來提供反饋意見。

privacyIDEA有一個條件。 自己的Cloud用戶必須以privacyIDEA或其他方式知道，您在privacyIDEA中分配令牌的用戶也必須在ownCloud中可用。

您可以運行用戶位于LDAP目錄中的安裝程序，但在本示例中，我們僅使用現(xiàn)有的ownCloud SQL用戶表。

請注意：如果您在不同的服務(wù)器上運行privacyIDEA和ownCloud，則需要授予對SQL數(shù)據(jù)庫的訪問權(quán)限。 在MySQL / MariaDB的情況下，您需要修改/etc/mysql/my.cnf中的綁定地址 ，如下所示：

 bind-address = 0.0.0.0 

此外，您需要根據(jù)MySQL添加訪問權(quán)限：

 grant all privileges on owncloud.* to "ocuser"@"privacyIDEA-Server" identified by "password"; 

現(xiàn)在，MySQL用戶“ocuser”可以從privacyIDEA服務(wù)器訪問ownCloud服務(wù)器上的數(shù)據(jù)庫。

警告：到MySQL服務(wù)器的網(wǎng)絡(luò)流量未加密。 如果您運行此方案，我們非常建議您設(shè)置TLS。 您還可以在本網(wǎng)站上找到一些使用SSL設(shè)置MySQL的howtos。

現(xiàn)在我們將privacyIDEA連接到ownCloud，以便privacyIDEA知道用戶。 我們在Config→Users創(chuàng)建一個新的用戶解析器 。

您可以點擊ownCloud應(yīng)該預(yù)設(shè)數(shù)據(jù)庫屬性映射中所有必需字段的按鈕。

然后，您可以單擊測試SQL解析器來查看，如果一切順利。

現(xiàn)在您可以通過Config→Realms從解析器創(chuàng)建默認域。

您現(xiàn)在應(yīng)該在“ 用戶 ”選項卡中查看ownCloud用戶，并可以為這些用戶注冊令牌。

privacyIDEA支持各種令牌，您可以在這里找到。

我們將以簡單的例子快速注冊Google Authenticator。

轉(zhuǎn)到用戶視圖，選擇一個用戶來查看用戶的詳細信息。 在這里您可以點擊按鈕注冊新令牌 。

在注冊對話框中，您可以選擇令牌類型，并根據(jù)輸入不同詳細信息所需的令牌類型。 但是在這個例子中，我們使用默認的Token類型HOTP 。 在頁面的底部，您可以輸入OTP PIN。

單擊注冊令牌 。

該令牌已注冊，您會看到一個QR碼，您可以使用Google Authenticator App進行掃描。

其他令牌類型以其他方式注冊，這超出了本教程的范圍。 有關(guān)更多信息，請參閱privacyIDEA文檔 。

現(xiàn)在我們完成了，因為ownCloud用戶分配了一個令牌。 您可以重復(fù)此過程，以進一步為自己的Cloud用戶。

首先，您需要下載ownCloud privacyIDEA應(yīng)用程序。

您可以在這里下載App。 您需要將目錄user_privacyidea 復(fù)制到您自己的Cloud目錄apps / 。 假設(shè)你把ownCloud安裝到/ var / www / owncloud ，這樣你就可以得到一個結(jié)構(gòu)了

 root@owncloud:~# ls /var/www/owncloud/apps/user_privacyidea/ -l -rw-rw-r-- 1 root root 1671 Jun 25 15:05 adminSettings.php drwxrwxr-x 2 root root 4096 Jun 25 15:17 appinfo drwxrwxr-x 2 root root 4096 Jun 25 15:17 img drwxrwxr-x 2 root root 4096 Jun 25 15:17 js drwxrwxr-x 2 root root 4096 Jun 25 15:17 lib drwxrwxr-x 2 root root 4096 Jun 25 15:17 templates 

privacyIDEA應(yīng)用程序?qū)崿F(xiàn)為ownCloud用戶后端，并將作為現(xiàn)有用戶后臺的覆蓋圖，以便能夠跳轉(zhuǎn)到身份驗證請求，以將第二個因素添加到登錄。

轉(zhuǎn)到應(yīng)用程序→不啟用并啟用應(yīng)用程序。

然后，您可以訪問您的用戶→管理員來配置privacyIDEA應(yīng)用程序。

您需要提供privacyIDEA服務(wù)器的URL 。 您應(yīng)該運行帶有受信任證書的privacyIDEA服務(wù)器。 如果在安裝過程中沒有可信任的證書，可以取消選中VerifyID SSL服務(wù)器的SSL證書 。

為了避免鎖定您，您可以勾選復(fù)選框， 還允許用戶使用其正常密碼進行身份驗證 。 在這種情況下，如果對privacyIDEA的身份驗證失敗，則用戶將針對底層的ownCloud用戶后端進行身份驗證。 在生產(chǎn)性使用中，您應(yīng)該取消選中此復(fù)選框。

桌面客戶端當然會出現(xiàn)一次性密碼問題。 如果您使用這樣的客戶端，您應(yīng)該勾選允許使用靜態(tài)密碼訪問remote.php的API 。 在這種情況下，來自桌面客戶端（由remote.php標識）的身份驗證請求將不會針對privacyIDEA而是針對底層用戶后端進行身份驗證。

最后，如果一切正常，您可以通過勾選“ 使用privacyIDEA ”復(fù)選框來激活雙因素身份驗證。

激活privacyIDEA應(yīng)用程序后，ownCloud的登錄屏幕不會更改。

要登錄，您需要輸入用戶名，并在密碼字段中輸入您的Google身份驗證器生成的OTP密碼和OTP值。