Selbstgehostete deklofenak – 123RF Quelle: Alternativen zu Datei-Lakai von Andreas Stolzenberger

Viele Unternehmen möchten moderne Dateidienste im Stil von Dropbox oder der Google Cloud für den sicheren Informationsaustausch nutzen. Das Vertrauen in die Daten- integrität der in den USA gesicherten Daten hält sich allerdings meist in Grenzen – wenn nicht ohnehin Datenschutzrichtlinien die Lagerung von Dokumenten außerhalb des Landes verbieten. Hier sind selbstgehostete Optionen zu Dropbox gefragt. Wir geben einen Überblick.

O ft zum Leidwesen der laufenden aber ähnlich simpel bedienen lassen wie Unterhaltskosten verlagern Unter- Dropbox und Co. nehmen ihre IT-Dienste aus dem heimi- schen Datenzentrum irgendwo in die Architektur Cloud – Outsourcing 4.0 ist in vollem moderner Dateidienste Gange. Viele Anwendungen und Dienste Aber was unterscheidet eigentlich den sind in der Cloud gut aufgehoben, wenn modernen Dateidienst vom klassischen auch bei weitem nicht alle. Laufwerk F:? Da ist zunächst einmal die Zugriffsart an sich: Der Zugang zu den Trotz Tonnen moderner Microservices gespeicherten Daten muss über das In- und moderner Apps für nahezu jeden ternet erfolgen können. Als Protokoll Unternehmensprozess besteht nach wie kommt daher nur HTTPS in Frage. Der vor der Bedarf am klassischen Dateiser- Zugriff erfolgt – gerade in Anbetracht ver-Dienst – allerdings mit modernen ungesicherter öffentlicher WLANs – ver- Zugangsmethoden. Denn auf das altbe- schlüsselt und kann in der Regel unge- kannte gemeinsame Laufwerk F: haben hindert Proxy-Server und Firewalls pas- nur interne Mitarbeiter Zugriff und wer sieren. Proprietäre Protokolle mit eigenen von unterwegs oder aus dem Home-Of- Ports schaffen das häufig nicht. VPN- fice arbeitet, kommt ohne komplexe Tunnel für den Zugriff erfordern spezielle VPN-Konstrukte nicht an seine Daten. Software auf dem Endgerät, was einen simplen Dateizugriff verhindert. In der Praxis nutzen deshalb frustrierte Mitarbeiter immer mal wieder ihren pri- Auch bei der Zugriffskontrolle gibt es Un- vaten Dropbox-Account, um Dokumente terschiede: Der Besitzer von Dateien und mit Geschäftspartnern zu teilen, und ver- Verzeichnissen sollte selbst den Zugang letzen dabei sowohl die gesetzlichen als zu einzelnen Dateien und Ordnern re-

SCHWERPUNKT auch die konzernweiten Datenschutz- glementieren können. Das schließt ein, richtlinien. Die IT-Abteilungen müssen dass einzelne Benutzer und Gruppen vol- reagieren und ihren Anwendern daten- len Zugriff bekommen, während andere schutzkonforme Lösungen bieten, die sich beispielsweise nur Leserechte erhalten.

www.it-administrator.de Selbstgehostete Alternativen zu Dropbox Schwerpunkt

um lokale Dateiordner automatisch mit den im Internet gesicherten Dateien ab- zugleichen. Letztere Zugriffsform eignet sich dabei allerdings nur dann, wenn ein- zelne Nutzer mit den Daten arbeiten.

Synchronisieren und ändern hingegen mehrere Anwender die geteilten Datenbe- stände, kommt es zwangsweise zu Syn- chronisationsfehlern und widersprüchli- chen Versionen. Welche Tools eignen sich also bevorzugt für das Dateisharing via In- ternet mit Datenhaltung im lokalen LAN?

Bild 1: Alle Lösungen lassen sich mit einer 3-Tier-Architektur betreiben, die mehrere Frontend-Knoten im WebDAV allein untauglich Scale-out vom eigentlichen Speicher trennt. So sieht beispielsweise die Cluster-Architektur von Seafile aus. Das universelle Protokoll für Dateisharing via Internet ist WebDAV. Es basiert auf Ein weiteres Unterscheidungsmerkmal: durchaus Sinn, den Access-Layer vom ei- HTTP und natürlich HTTPS als Trans- Gerade wenn mehrere Personen an ge- gentlichen Storage zu trennen. portschicht. Prinzipiell genügt bereits ein teilten Dateien arbeiten, muss der Datei- simpler Apache- oder NGINX-Webserver dienst mehrere Versionen dieser Datei Eine 3-Tier-Lösung kann den eigentlichen mit den passenden Dav- und Dav-Lock- vorhalten. So kann der Eigner versehent- Dateidienst in der Cloud oder bei einem Modulen, um diesen Dienst bereitzustel- liche oder falsche Änderungen rückgän- Hoster betreiben, während die Daten si- len. Alle gängigen Clientbetriebssysteme gig machen und eine überschriebene Da- cher im lokalen Datacenter lagern. Diese unterstützen DAVFS, um Netzwerklauf- tei durch eine ältere Version ersetzen. Architektur bedarf nur eines wesentlich werke einzubinden. Viel mehr als "F: over kleineren Lochs in der Firewall, das nur Internet" hat das blanke DAV aber nicht Nicht zuletzt gilt natürlich das Primat des eine Punkt-zu-Punkt-Verbindung zwi- zu bieten und so fehlt es vor allem an den sicheren Speicherorts: Der Dienst muss schen Clouddienst und Datacenter erlaubt vom Benutzer steuerbaren Rechte- und alle Informationen an einem datenschutz- und sich damit wesentlich einfacher über- Zugriffsbeschränkungen. Das nackte DAV konformen Ort lagern. Nach Möglichkeit wachen lässt. Da der Cloud-Layer keine allein reicht also nicht. sollte der Dateiservice sich gleich selbst großen Massenspeicher benötigt, redu- um das Backup kümmern. ziert diese Lösung die Kosten des Cloud- ownCloud und Nextcloud teils erheblich gegenüber einem Ansatz, Zu den populärsten Dropbox-Alternativen 3-Tier-Lösung ergibt Sinn der viele TByte an Daten auf Cloudser- gehören die verwandten Open-Source- Wer eine Dropbox-Variante im eigenen vern sichert. Tools ownCloud [1] und das von dessen Data Center hostet, steht vor einem gro- Sourcecode geforkte Nextcloud [2]. Beide ßen Sicherheitsproblem. Er benötigt ne- Online statt Offline in PHP programmierten Werkzeuge of- ben einer offiziellen externen IP-Adresse Moderne Internet-Dateidienste offerieren ferieren Synchronisations- und Kollabo- auch ein passendes Loch in seiner Fire- in der Regel zwei Zugriffsformen: Den rationsdienste. Wer lediglich die Basis- wall für den Zugang von außen, was häu- Online-Live-Zugriff auf die gesicherten dienste für Dateisharing verwenden fig wiederum anderen Sicherheitsrichtli- Dateien und eine Synchronisationsoption, möchte, kann mit beiden gut umgehen. nien des Unternehmens widerspricht. Greifen alle Nutzer des Dateidienstes di- rekt auf den Service im internen Rechen- zentrum zu, müssen die Administratoren diesen Dienst und alle Zugriffe sehr genau überwachen.

Bei genauer Betrachtung besteht ein Da- teidienst aus drei Services: Dem Client des Anwenders, dem Sharing-Dienst mit Authentisierung, Rechtesystem und Me- tadaten sowie der eigentlichen Dateihal- tung mit Versionierung und Backup. Viele Dienste fassen Access- und Storage-Tier Bild 2: Das Nextcloud-Interface listet die Metadaten der gesicherten Dateien auf. in einem Dienst zusammen. Es ergibt aber Via Versionierung kann der Nutzer auf frühere Dateiversionen zugreifen.

www.it-administrator.de September 2019 71 Schwerpunkt Selbstgehostete Alternativen zu Dropbox

mit dem passenden PHP-Support einrich- ten und eine SQL-Datenbank (in der Regel MySQL) bereitstellen. Ein paar Basispa- rameter liegen in einer Konfigurations- datei, die restliche Administration erfolgt im Webbrowser. Beide Plattformen klin- ken sich problemlos in gängige Directo- ry-Dienste wie ADS oder FreeIPA ein, un- terstützen Zwei-Faktor-Authentifikation und Single Sign-on.

Beide Angebote liefern in der Praxis zu- Bild 3: Wie alle Tools unterstützt auch Seafile eine Dateihistorie und kann verlässige Dateidienste über das DAV- Änderungen sowie versehentliche Löschungen rückgängig machen. Protokoll und eigene Sync-Clients. Die Performance, speziell beim Dateisync, ist ownCloud zielt in der Zwischenzeit stärker Angebote wie Office 365 oder die Goo- anderen Tools unterlegen. Das spielt aber auf den kommerziellen Einsatz mit kos- gle Office Suite. bei der Hauptaufgabe Kollaboration eine tenpflichtigem Enterprise Support für sei- geringe Rolle. Die Entwicklung hin zu ne Plattform. Der Freistaat Bayern nutzt Beide Lösungen nutzen für die Kommu- mehr Kollaborationsfunktionen gefällt, beispielsweise eine angepasste Variante nikation das DAV-Protokoll, das sich steckt aber verglichen mit anderen An- von ownCloud in seiner "BayernBox", eine gänzlich ohne Clientsoftware nutzen lässt. geboten wie denen von Google noch et- Dateisharing-Plattform für Kommunen Alternativ gibt es eine Reihe von Tools was in den Kinderschuhen. in Bayern. für alle gängigen PC- oder Mobilplattfor- men. Diese lassen sich online oder mit Seafile Auch Nextcloud bietet kommerziellen Synchronisation verwenden. Die dem Seafile [4] führt ein Schattendasein hinter Support und entwickelt zudem die Kol- DAV-Protokoll fehlenden Zugriffsregeln ownCloud/Nextcloud, obwohl es bereits laborationsfunktionen der Plattform ak- steuert der Anwender über das Webin- länger als ownCloud existiert. Der auf tiv weiter. Dazu gehören dann Dienste terface des Diensts. ownCloud und Next- Open Source fußende File-Sharing-Ser- wie cloudbasierte Office-Funktionen cloud erstellen automatisch und zeitba- vice ist in Python auf Basis des Django- (etwa OnlyOffice-Integration) zum ge- siert Snapshots der Dateien. Webframeworks geschrieben. Seafile kann meinsamen Bearbeiten von Notizen, Ta- sowohl den eigenen Webserver nutzen bellen oder Dokumenten. Damit posi- Beide Werkzeuge unterstützen mittlerweile als auch hinter Apache oder NGINX ope- tioniert sich Nextcloud stärker gegen eine ganze Reihe von Storage-Backends. rieren. Es benötigt eine Datenbank für Neben lokalen Ordnern lassen sich auch die Metadaten und unterstützt verschie- Self hosted S3 NFS-Freigaben oder S3-Buckets der ei- dene Storage-Backends. Neben S3 kann gentlichen Dokumente aufnehmen. Die das Tool nativ mit dem Object-Storage Bei allen vorgestellten Tools lässt sich das S3- Metadaten lagern die Tools in einer sepa- Ceph über dessen librados arbeiten. Protokoll für die Kommunikation zum Sto- raten Datenbank. Damit eignen sich beide rage-Backend verwenden. Beim Self-Hosted- Lösungen sehr gut für eine 3-Tier-Archi- Die Architektur fällt bei Seafile etwas File-Sharing mit 3-Tier-Architektur muss der tektur mit dem eigentlichen OC/NC-Ser- komplexer aus als bei ownCloud/Next- Anwender daher auch diesen S3-Service im vice in der DMZ oder einer Cloud-VM cloud. Für den Basisbetrieb benötigt der heimischen Datacenter stellen. Klassisches und dem Storage-Backend im eigenen Re- Dienst mehrere Komponenten, da er das Software-defined Storage wie Ceph oder chenzentrum. Webfrontend vom eigentlichen Datei- GlusterFS bringen S3/Swift-Gateways mit, kommen in der Regel aber nur bei großen In- dienst abkoppelt. Letzterer kann auch stallationen mit hunderten von TByte zum Beide Services erlauben eine Scale-out- über ein eigenes Binärprotokoll mit Einsatz. Zudem gestaltet sich die Konfigurati- Architektur mit mehreren Frontend-Ser- Clients kommunizieren. Das arbeitet zwar on von Storage und S3-Gateway aufwendig. vern, die Datenbank und Backend teilen. schneller als WebDAV, braucht im Ge- Das Open-Source-Projekt MinIO [3] hingegen Ähnlich lassen sich somit auch getrennte genzug aber einen zusätzlichen offenen liefert ein in Go geschriebenes simples S3- Zugriffspunkte im lokalen Netzwerk und Port in der Firewall. Auch bei Seafile ar- Gateway mit einer Reihe leistungsstarker im Internet realisieren, die dennoch das beiten die Entwickler an Office-Diensten, Funktionen für Skalierung und Datensicher- Storage-Backend gemeinsam verwenden. die aktuell aber weit weniger Funktionen heit. Ein einzelnes MinIO-System kann via als ownCloud/Nextcloud liefern. Wie die Erasure Coding die S3-Objekte auf mehrere Die Installation von ownCloud/Nextcloud beiden anderen Tools verwaltet Seafile Disks verteilt sichern. Zudem arbeitet MinIO stellt den Administrator vor keine beson- mehrere Versionen einzelner Dateien, so- auch im Cluster und verteilt dort S3-Objekte deren Anforderungen. Der Verwalter dass Rollbacks bei versehentlichen Än- redundant auf die verschiedenen Knoten. muss den Webserver Apache oder NGINX derungen möglich sind.

72 September 2019 www.it-administrator.de Selbstgehostete Alternativen zu Dropbox Schwerpunkt

Für den Desktop-Nutzer offeriert Seafile zwei getrennte Clients: Einen für Sync und einen Drive-Client. Drive eignet sich dabei vorzüglich für Kollaborationsfunktionen. Seafile kann via Drive einzelne Dateien rein online verwenden, andere aber wie- derum synchronisieren oder cachen. Hat ein Nutzer eine freigegebene Datei mit Schreibfunktionen geöffnet, setzt Seafile Drive diese Datei bei anderen Nutzern auf "locked" und erlaubt ihnen keine Schreib- zugriffe. Seafile unterstützt verschiedene Bild 4: Die übersichtliche Oberfläche von Pydio Cells gibt Benutzern Directories sowie Single Sign-on und und Gruppen Zugang zu gemeinsamen Dateien und dem Chat. Zwei-Faktor-Authentifizierung. neues Konzept vor und trennen sich zu- chat und weitere modulare Office-Funk- Verglichen mit ownCloud/Nextcloud ist gleich von PHP als Programmiersprache. tionen werten das Tool weiter auf, auch Seafile komplexer einzurichten und zu Cells arbeitet in Go und zielt auf ein mo- wenn es für das recht junge Werkzeug verwalten. Aber wie so oft beherrschen dernes Gruppen-Dateimanagement mit noch nicht so viele Plug-ins wie etwa für die etwas komplizierteren Dienste mehr File-Service und Chatfunktionen. Cells Nextcloud gibt. Positiv fällt zudem auf, Funktionen und lassen sich detaillierter verzichtet von Haus aus auf klassische dass das schlanke Go-Executable flott konfigurieren. So unterstützt Seafile Desktop-Clients – hierfür muss ein Web- ans Werk geht, ohne dabei allzu viele mehr Storage-Backends und lässt dem DAV-Zugang genügen – und verwaltet Ressourcen zu belegen. Anwender mehr Konfigurationsoptio- fast alle Funktionen im Browser oder ei- nen, beispielsweise beim Versionierungs- ner Mobile-Phone-App. Fazit regelwerk. Auch Seafile ist Cluster-fähig Die vier vorgestellten Tools für selbst- für den Scale-out-Betrieb und nutzt ne- Anwender erstellen in Cells Projekte und gehostete Dropbox-Alternativen weisen ben den bestehenden Diensten noch Arbeitsgruppen und laden dazu Personen verschiedene Vor- und Nachteile auf. Memcached für die Kommunikation in- oder Gruppen aus dem Directory ein. ownCloud/Nextcloud haben sich in der nerhalb des Clusters. In Praxistests mit Auch bei Cells wollen die Entwickler stär- Praxis vielfach bewährt, bleiben in der Nextcloud und Seafile läuft Letzteres oft ker in Richtung modulare Webapplikati- Basisfunktionalität doch sehr nahe am flotter, sowohl bei Dateizugriffen über onsdienste gehen, statt nur Filesharing klassischen Filesharing. Das modulare den Client als auch bei Operationen in oder Internet anzubieten. Wie die anderen Add-on-App-Konzept geht in die rich- der Web-UI. Dienste beherrscht Pydio mehrere Sto- tige Richtung, kann aber in Sachen Sta- rage-Backends und integriert sich in bilität, Komfort und Performance nicht Pydio Cells LDAP- und AD-Directories. Allerdings immer überzeugen. Noch näher am klas- Pydio steht für "Put your data in orbit" können sich nur Nutzer der kostenpflich- sischen Fileserver orientiert sich Seafile, und stammt vom PHP-Tool AjaXplorer tigen Enterprise-Edition mit Verzeich- das mit einem gut durchdachten Desk- ab. Der ursprüngliche Hintergedanke des nisdiensten verbinden. Die Community- top-Client punktet. Zudem lässt es sich Projekts: Eine Applikation, die aussieht Edition muss mit dem Pydio internen sehr flexibel konfigurieren, auch wenn und funktioniert wie der Windows-Ex- User-Management alleine klarkommen. auf der anderen Seite Installation und plorer, aber die Dokumente auf einem Wie so viele der jungen neuen Webser- Administration etwas komplexer und Server im Internet sichert. Die Macher vices präsentiert sich Pydio Cells mit einer aufwändiger ausfallen. von Pydio stellen jetzt mit Cells [5] ein schicken, simplen und übersichtlichen Browser UI. Cells sind schnell erstellt und Pydio Cells geht neue Wege, die den Ar- Link-Codes anderen Nutzern zur Verfügung gestellt. beitsabläufen in Teams und Projekten ent- gegenkommen. Noch mangelt es den 1.x- [1] ownCloud Die Installation des Dienstes ist simpel, Versionen hier und da an der Stabilität – g4z33 da Pydio Cells lediglich aus einem Exe- wir bekamen das Tool beispielsweise nicht [2] Nextcloud j9z92 cutable besteht, das auf -Systemen auf einer CentOS-VM zum Laufen, wohl im Userspace und völlig ohne Root- aber als Docker-Container auf Debian [3] MinIO j9z93 Rechte startet. Die komplette Konfigu- Basis – dafür stimmt die Architektur. Wer [4] Seafile ration und Anpassung findet im Browser bereit für moderneres Filesharing ist, soll- f2p22 statt. Das Konzept hinter Cells mit frei te dieses Werkzeug evaluieren. Wer eher [5] Pydio Cells definierbaren Zellen und Arbeitsgrup- am klassischen Fileserver hängt, ist bei j9z95 pen sowie die übersichtliche UI können Seafile und ownCloud/Nextcloud besser überzeugen. Der integrierte Gruppen- aufgehoben. (ln)

Link-Codes eingeben auf www.it-administrator.de September 2019 73