Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 9 Min.

Selbstgehostete Alternativen zu Dropbox: Datei-Lakai


IT Administrator - epaper ⋅ Ausgabe 9/2019 vom 30.08.2019

Viele Unternehmen möchten moderne Dateidienste im Stil von Dropbox oder der Google Cloud für den sicheren Informationsaustausch nutzen. Das Vertrauen in die Datenintegrität der in den USA gesicherten Daten hält sich allerdings meist in Grenzen – wenn nicht ohnehin Datenschutzrichtlinien die Lagerung von Dokumenten außerhalb des Landes verbieten. Hier sind selbstgehostete Optionen zu Dropbox gefragt. Wir geben einen Überblick.


Artikelbild für den Artikel "Selbstgehostete Alternativen zu Dropbox: Datei-Lakai" aus der Ausgabe 9/2019 von IT Administrator. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: IT Administrator, Ausgabe 9/2019

Quelle: deklofenak – 123RF

Oft zum Leidwesen der laufenden Unterhaltskosten verlagern Unternehmen ihre IT-Dienste aus dem heimischen Datenzentrum irgendwo in die Cloud – Outsourcing ...

Weiterlesen
epaper-Einzelheft 8,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von IT Administrator. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 9/2019 von 15 Jahre IT-Administrator: Große Show!. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
15 Jahre IT-Administrator: Große Show!
Titelbild der Ausgabe 9/2019 von Emsige Cyberspione. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Emsige Cyberspione
Titelbild der Ausgabe 9/2019 von SSDs in allen Formen und Farben. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
SSDs in allen Formen und Farben
Titelbild der Ausgabe 9/2019 von Interview: »Irgendwann verständigen wir uns über Webseiten ebenso selbstverständlich wie heute per Telefon«. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Interview: »Irgendwann verständigen wir uns über Webseiten ebenso selbstverständlich wie heute per Telefon«
Titelbild der Ausgabe 9/2019 von Praxiswissen für Administratoren: Intensive Sicherheit. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Praxiswissen für Administratoren: Intensive Sicherheit
Titelbild der Ausgabe 9/2019 von Stormshield Data for Cloud & Mobility: Transparente Sicherheit. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Stormshield Data for Cloud & Mobility: Transparente Sicherheit
Vorheriger Artikel
Tipps, Tricks und Tools
aus dieser Ausgabe
Nächster Artikel Kollaborative Texteditoren: Vernetzte Schreibmaschinen
aus dieser Ausgabe

... 4.0 ist in vollem Gange. Viele Anwendungen und Dienste sind in der Cloud gut aufgehoben, wenn auch bei weitem nicht alle.

Trotz Tonnen moderner Microservices und moderner Apps für nahezu jeden Unternehmensprozess besteht nach wie vor der Bedarf am klassischen Dateiserver- Dienst – allerdings mit modernen Zugangsmethoden. Denn auf das altbekannte gemeinsame Laufwerk F: haben nur interne Mitarbeiter Zugriff und wer von unterwegs oder aus dem Home-Office arbeitet, kommt ohne komplexe VPN-Konstrukte nicht an seine Daten.

In der Praxis nutzen deshalb frustrierte Mitarbeiter immer mal wieder ihren privaten Dropbox-Account, um Dokumente mit Geschäftspartnern zu teilen, und verletzen dabei sowohl die gesetzlichen als auch die konzernweiten Datenschutzrichtlinien. Die IT-Abteilungen müssen reagieren und ihren Anwendern datenschutzkonforme Lösungen bieten, die sich aber ähnlich simpel bedienen lassen wie Dropbox und Co.

Architektur moderner Dateidienste
Aber was unterscheidet eigentlich den modernen Dateidienst vom klassischen Laufwerk F:? Da ist zunächst einmal die Zugriffsart an sich: Der Zugang zu den gespeicherten Daten muss über das Internet erfolgen können. Als Protokoll kommt daher nur HTTPS in Frage. Der Zugriff erfolgt – gerade in Anbetracht ungesicherter öffentlicher WLANs – verschlüsselt und kann in der Regel ungehindert Proxy-Server und Firewalls passieren. Proprietäre Protokolle mit eigenen Ports schaffen das häufig nicht. VPNTunnel für den Zugriff erfordern spezielle Software auf dem Endgerät, was einen simplen Dateizugriff verhindert.

Auch bei der Zugriffskontrolle gibt es Unterschiede: Der Besitzer von Dateien und Verzeichnissen sollte selbst den Zugang zu einzelnen Dateien und Ordnern reglementieren können. Das schließt ein, dass einzelne Benutzer und Gruppen vollen Zugriff bekommen, während andere beispielsweise nur Leserechte erhalten.

Bild 1: Alle Lösungen lassen sich mit einer 3-Tier-Architektur betreiben, die mehrere Frontend-Knoten im Scale-out vom eigentlichen Speicher trennt. So sieht beispielsweise die Cluster-Architektur von Seafile aus.


Ein weiteres Unterscheidungsmerkmal: Gerade wenn mehrere Personen an geteilten Dateien arbeiten, muss der Dateidienst mehrere Versionen dieser Datei vorhalten. So kann der Eigner versehentliche oder falsche Änderungen rückgängig machen und eine überschriebene Datei durch eine ältere Version ersetzen.

Nicht zuletzt gilt natürlich das Primat des sicheren Speicherorts: Der Dienst muss alle Informationen an einem datenschutzkonformen Ort lagern. Nach Möglichkeit sollte der Dateiservice sich gleich selbst um das Backup kümmern.

3-Tier-Lösung ergibt Sinn
Wer eine Dropbox-Variante im eigenen Data Center hostet, steht vor einem großen Sicherheitsproblem. Er benötigt neben einer offiziellen externen IP-Adresse auch ein passendes Loch in seiner Firewall für den Zugang von außen, was häufig wiederum anderen Sicherheitsrichtlinien des Unternehmens widerspricht. Greifen alle Nutzer des Dateidienstes direkt auf den Service im internen Rechenzentrum zu, müssen die Administratoren diesen Dienst und alle Zugriffe sehr genau überwachen.

Bei genauer Betrachtung besteht ein Dateidienst aus drei Services: Dem Client des Anwenders, dem Sharing-Dienst mit Authentisierung, Rechtesystem und Metadaten sowie der eigentlichen Dateihaltung mit Versionierung und Backup. Viele Dienste fassen Access- und Storage-Tier in einem Dienst zusammen. Es ergibt aber durchaus Sinn, den Access-Layer vom eigentlichen Storage zu trennen.

Eine 3-Tier-Lösung kann den eigentlichen Dateidienst in der Cloud oder bei einem Hoster betreiben, während die Daten sicher im lokalen Datacenter lagern. Diese Architektur bedarf nur eines wesentlich kleineren Lochs in der Firewall, das nur eine Punkt-zu-Punkt-Verbindung zwischen Clouddienst und Datacenter erlaubt und sich damit wesentlich einfacher überwachen lässt. Da der Cloud-Layer keine großen Massenspeicher benötigt, reduziert diese Lösung die Kosten des Cloudteils erheblich gegenüber einem Ansatz, der viele TByte an Daten auf Cloudservern sichert.

Online statt Offline
Moderne Internet-Dateidienste offerieren in der Regel zwei Zugriffsformen: Den Online-Live-Zugriff auf die gesicherten Dateien und eine Synchronisationsoption, um lokale Dateiordner automatisch mit den im Internet gesicherten Dateien abzugleichen. Letztere Zugriffsform eignet sich dabei allerdings nur dann, wenn einzelne Nutzer mit den Daten arbeiten.

Synchronisieren und ändern hingegen mehrere Anwender die geteilten Datenbestände, kommt es zwangsweise zu Synchronisationsfehlern und widersprüchlichen Versionen. Welche Tools eignen sich also bevorzugt für das Dateisharing via Internet mit Datenhaltung im lokalen LAN?

WebDAV allein untauglich
Das universelle Protokoll für Dateisharing via Internet ist WebDAV. Es basiert auf HTTP und natürlich HTTPS als Transportschicht. Prinzipiell genügt bereits ein simpler Apache- oder NGINX-Webserver mit den passenden Dav- und Dav-Lock- Modulen, um diesen Dienst bereitzustellen. Alle gängigen Clientbetriebssysteme unterstützen DAVFS, um Netzwerklaufwerke einzubinden. Viel mehr als "F: over Internet" hat das blanke DAV aber nicht zu bieten und so fehlt es vor allem an den vom Benutzer steuerbaren Rechte- und Zugriffsbeschränkungen. Das nackte DAV allein reicht also nicht.

ownCloud und Nextcloud
Zu den populärsten Dropbox-Alternativen gehören die verwandten Open-Source- Tools ownCloud [1] und das von dessen Sourcecode geforkte Nextcloud [2]. Beide in PHP programmierten Werkzeuge offerieren Synchronisations- und Kollaborationsdienste. Wer lediglich die Basisdienste für Dateisharing verwenden möchte, kann mit beiden gut umgehen.

Bild 2: Das Nextcloud-Interface listet die Metadaten der gesicherten Dateien auf. Via Versionierung kann der Nutzer auf frühere Dateiversionen zugreifen.


Bild 3: Wie alle Tools unterstützt auch Seafile eine Dateihistorie und kann Änderungen sowie versehentliche Löschungen rückgängig machen.


ownCloud zielt in der Zwischenzeit stärker auf den kommerziellen Einsatz mit kostenpflichtigem Enterprise Support für seine Plattform. Der Freistaat Bayern nutzt beispielsweise eine angepasste Variante von ownCloud in seiner "BayernBox", eine Dateisharing-Plattform für Kommunen in Bayern.

Auch Nextcloud bietet kommerziellen Support und entwickelt zudem die Kollaborationsfunktionen der Plattform aktiv weiter. Dazu gehören dann Dienste wie cloudbasierte Office-Funktionen (etwa OnlyOffice-Integration) zum gemeinsamen Bearbeiten von Notizen, Tabellen oder Dokumenten. Damit positioniert sich Nextcloud stärker gegen Angebote wie Office 365 oder die Google Office Suite.

Beide Lösungen nutzen für die Kommunikation das DAV-Protokoll, das sich gänzlich ohne Clientsoftware nutzen lässt. Alternativ gibt es eine Reihe von Tools für alle gängigen PC- oder Mobilplattformen. Diese lassen sich online oder mit Synchronisation verwenden. Die dem DAV-Protokoll fehlenden Zugriffsregeln steuert der Anwender über das Webinterface des Diensts.ownCloud und Nextcloud erstellen automatisch und zeitbasiert Snapshots der Dateien.

Beide Werkzeuge unterstützen mittlerweile eine ganze Reihe von Storage-Back ends. Neben lokalen Ordnern lassen sich auch NFS-Freigaben oder S3-Buckets der eigentlichen Dokumente aufnehmen. Die Metadaten lagern die Tools in einer separaten Datenbank. Damit eignen sich beide Lösungen sehr gut für eine 3-Tier-Architektur mit dem eigentlichen OC/NC-Service in der DMZ oder einer Cloud-VM und dem Storage-Backend im eigenen Rechenzentrum.

Beide Services erlauben eine Scale-out- Architektur mit mehreren Frontend-Servern, die Datenbank und Backend teilen. Ähnlich lassen sich somit auch getrennte Zugriffspunkte im lokalen Netzwerk und im Internet realisieren, die dennoch das Storage-Backend gemeinsam verwenden.

Die Installation von ownCloud/Nextcloud stellt den Administrator vor keine besonderen Anforderungen. Der Verwalter muss den Webserver Apache oder NGINX mit dem passenden PHP-Support einrichten und eine SQL-Datenbank (in der Regel MySQL) bereitstellen. Ein paar Basisparameter liegen in einer Konfigurationsdatei, die restliche Administration erfolgt im Webbrowser. Beide Plattformen klinken sich problemlos in gängige Directory- Dienste wie ADS oder FreeIPA ein, unterstützen Zwei-Faktor-Authentifikation und Single Sign-on.

Beide Angebote liefern in der Praxis zuverlässige Dateidienste über das DAVProtokoll und eigene Sync-Clients. Die Performance, speziell beim Dateisync, ist anderen Tools unterlegen. Das spielt aber bei der Hauptaufgabe Kollaboration eine geringe Rolle. Die Entwicklung hin zu mehr Kollaborationsfunktionen gefällt, steckt aber verglichen mit anderen Angeboten wie denen von Google noch etwas in den Kinderschuhen.

Seafile
Seafile [4] führt ein Schattendasein hinter ownCloud/Nextcloud, obwohl es bereits länger als ownCloud existiert. Der auf Open Source fußende File-Sharing-Service ist in Python auf Basis des Django- Webframeworks geschrieben. Seafile kann sowohl den eigenen Webserver nutzen als auch hinter Apache oder NGINX operieren. Es benötigt eine Datenbank für die Metadaten und unterstützt verschiedene Storage-Backends. Neben S3 kann das Tool nativ mit dem Object-Storage Ceph über dessen librados arbeiten.

Die Architektur fällt bei Seafile etwas komplexer aus als bei ownCloud/Nextcloud. Für den Basisbetrieb benötigt der Dienst mehrere Komponenten, da er das Webfrontend vom eigentlichen Dateidienst abkoppelt. Letzterer kann auch über ein eigenes Binärprotokoll mit Clients kommunizieren. Das arbeitet zwar schneller als WebDAV, braucht im Gegenzug aber einen zusätzlichen offenen Port in der Firewall. Auch bei Seafile arbeiten die Entwickler an Office-Diensten, die aktuell aber weit weniger Funktionen als ownCloud/Nextcloud liefern. Wie die beiden anderen Tools verwaltet Seafile mehrere Versionen einzelner Dateien, sodass Rollbacks bei versehentlichen Änderungen möglich sind.

Self hosted S3

Bei allen vorgestellten Tools lässt sich das S3- Protokoll für die Kommunikation zum Storage- Backend verwenden. Beim Self-Hosted- File-Sharing mit 3-Tier-Architektur muss der Anwender daher auch diesen S3-Service im heimischen Datacenter stellen. Klassisches Software-defined Storage wie Ceph oder GlusterFS bringen S3/Swift-Gateways mit, kommen in der Regel aber nur bei großen Installationen mit hunderten von TByte zum Einsatz. Zudem gestaltet sich die Konfiguration von Storage und S3-Gateway aufwendig. Das Open-Source-Projekt MinIO [3] hingegen liefert ein in Go geschriebenes simples S3- Gateway mit einer Reihe leistungsstarker Funktionen für Skalierung und Datensicherheit. Ein einzelnes MinIO-System kann via Erasure Coding die S3-Objekte auf mehrere Disks verteilt sichern. Zudem arbeitet MinIO auch im Cluster und verteilt dort S3-Objekte redundant auf die verschiedenen Knoten.

Bild 4: Die übersichtliche Oberfläche von Pydio Cells gibt Benutzern und Gruppen Zugang zu gemeinsamen Dateien und dem Chat.


Für den Desktop-Nutzer offeriert Seafile zwei getrennte Clients: Einen für Sync und einen Drive-Client. Drive eignet sich dabei vorzüglich für Kollaborationsfunktionen. Seafile kann via Drive einzelne Dateien rein online verwenden, andere aber wiederum synchronisieren oder cachen. Hat ein Nutzer eine freigegebene Datei mit Schreibfunktionen geöffnet, setzt Seafile Drive diese Datei bei anderen Nutzern auf "locked" und erlaubt ihnen keine Schreibzugriffe. Seafile unterstützt verschiedene Directories sowie Single Sign-on und Zwei-Faktor-Authentifizierung.

Verglichen mit ownCloud/Nextcloud ist Seafile komplexer einzurichten und zu verwalten. Aber wie so oft beherrschen die etwas komplizierteren Dienste mehr Funktionen und lassen sich detaillierter konfigurieren. So unterstützt Seafile mehr Storage-Backends und lässt dem Anwender mehr Konfigurationsoptionen, beispielsweise beim Versionierungsregelwerk. Auch Seafile ist Cluster-fähig für den Scale-out-Betrieb und nutzt neben den bestehenden Diensten noch Memcached für die Kommunikation innerhalb des Clusters. In Praxistests mit Nextcloud und Seafile läuft Letzteres oft flotter, sowohl bei Dateizugriffen über den Client als auch bei Operationen in der Web-UI.

Pydio Cells
Pydio steht für "Put your data in orbit" und stammt vom PHP-Tool AjaXplorer ab. Der ursprüngliche Hintergedanke des Projekts: Eine Applikation, die aussieht und funktioniert wie der Windows-Explorer, aber die Dokumente auf einem Server im Internet sichert. Die Macher von Pydio stellen jetzt mit Cells [5] ein neues Konzept vor und trennen sich zugleich von PHP als Programmiersprache. Cells arbeitet in Go und zielt auf ein modernes Gruppen-Dateimanagement mit File-Service und Chatfunktionen. Cells verzichtet von Haus aus auf klassische Desktop-Clients – hierfür muss ein Web- DAV-Zugang genügen – und verwaltet fast alle Funktionen im Browser oder einer Mobile-Phone-App.

Anwender erstellen in Cells Projekte und Arbeitsgruppen und laden dazu Personen oder Gruppen aus dem Directory ein. Auch bei Cells wollen die Entwickler stärker in Richtung modulare Webapplikationsdienste gehen, statt nur Filesharing oder Internet anzubieten. Wie die anderen Dienste beherrscht Pydio mehrere Storage- Backends und integriert sich in LDAP- und AD-Directories. Allerdings können sich nur Nutzer der kostenpflichtigen Enterprise-Edition mit Verzeichnisdiensten verbinden. Die Community- Edition muss mit dem Pydio internen User-Management alleine klarkommen. Wie so viele der jungen neuen Webservices präsentiert sich Pydio Cells mit einer schicken, simplen und übersichtlichen Browser UI. Cells sind schnell erstellt und anderen Nutzern zur Verfügung gestellt.

Die Installation des Dienstes ist simpel, da Pydio Cells lediglich aus einem Executable besteht, das auf Linux-Systemen im Userspace und völlig ohne Root- Rechte startet. Die komplette Konfiguration und Anpassung findet im Browser statt. Das Konzept hinter Cells mit frei definierbaren Zellen und Arbeitsgruppen sowie die übersichtliche UI können überzeugen. Der integrierte Gruppenchat und weitere modulare Office-Funktionen werten das Tool weiter auf, auch wenn es für das recht junge Werkzeug noch nicht so viele Plug-ins wie etwa für Nextcloud gibt. Positiv fällt zudem auf, dass das schlanke Go-Executable flott ans Werk geht, ohne dabei allzu viele Ressourcen zu belegen.

Fazit
Die vier vorgestellten Tools für selbstgehostete Dropbox-Alternativen weisen verschiedene Vor- und Nachteile auf.ownCloud/Nextcloud haben sich in der Praxis vielfach bewährt, bleiben in der Basisfunktionalität doch sehr nahe am klassischen Filesharing. Das modulare Add-on-App-Konzept geht in die richtige Richtung, kann aber in Sachen Stabilität, Komfort und Performance nicht immer überzeugen. Noch näher am klassischen Fileserver orientiert sich Seafile, das mit einem gut durchdachten Desktop- Client punktet. Zudem lässt es sich sehr flexibel konfigurieren, auch wenn auf der anderen Seite Installation und Administration etwas komplexer und aufwändiger ausfallen.

Pydio Cells geht neue Wege, die den Arbeitsabläufen in Teams und Projekten entgegenkommen. Noch mangelt es den 1.x- Versionen hier und da an der Stabilität – wir bekamen das Tool beispielsweise nicht auf einer CentOS-VM zum Laufen, wohl aber als Docker-Container auf Debian Basis – dafür stimmt die Architektur. Wer bereit für moderneres Filesharing ist, sollte dieses Werkzeug evaluieren. Wer eher am klassischen Fileserver hängt, ist bei Seafile und ownCloud/Nextcloud besser aufgehoben.(ln)

Link-Codes

[1] ownCloud
g4z33
[2] Nextcloud
j9z92
[3] MinIO
j9z93
[4] Seafile
f2p22
[5] Pydio Cells
j9z95