Nextcloud 14 Neuerungen: 2FA-Unterstützung via Signal, Telegram, SMS

9 September 2018 8 Kommentare Autor: Jürgen (jdo)

Da die Nextcloud 14 nun offiziell verfügbar ist, wird es Zeit, sich näher damit zu beschäftigen, oder? Ich habe mir die Nextcloud 14 installiert und ein bisschen damit gespielt. Somit versuche ich, Dir in den nächsten paar Tagen verschiedene Eindrücke von der kommenden Nextcloud-Version zu vermitteln. Nicht nur aus Datenschutzgründen werden so Projekte wie Nextcloud immer wichtiger, sondern auch weil sich Dropbox und andere Cloud-Anbieter anscheinend um Linux-Anwender nicht wirklich scherten. Anders kann man die komische neue Richtlinie des Cloud Providers, nur noch unverschlüsseltes ext4 zu unterstützen, nicht verstehen. Google schickt sich auch nicht wirklich an, einen Linux-Client für Google Drive zu bieten. Aber selbst ist der Linuxer und der Datenschutz ist mit Nextcloud eh besser.

Eigentlich freue ich mich bei der Nexcloud 14 am meisten auf die angekündigte End-to-End-Verschlüsselung. Damit könnten Anwender spezielle Ordner und sich die darin befindlichen Dateien sowie Inhalte verschlüsseln. Der private Schlüssel befindet sich in den Händen der Nutzer. Das Blöde ist aber, dass ich bisher keine Bestätigung gefunden habe, dass sie für Nextcloud 14 auch ganz sicher fertig wird. Sie funktioniert, aber ob sie als stabil veröffentlicht oder empfohlen wird, weiß ich nicht. Zu E2E gibt es einen separaten Beitrag.

Dafür kommen ein paar andere Funktionen sicher in Nextcloud 14, die ebenfalls erwähnenswert sind. Dazu mehr am Ende des Beitrags. Sehen wir uns den RC1 von Nextcloud 14 erst Mal so ein bisschen an.

Kleines Datenbank-Problem

Den RC1 der Nextcloud 14 habe ich auf meinem Contabo-Server installiert. Hast Du Deine private Cloud lieber im Wohnzimmer, kannst Du sie auch auf einem Raspberry Pi installieren. Ein Raspberry Pi 3 sollte für eine Person oder eine Familie schnell genug sein, die Nextcloud 14 in angemessener Geschwindigkeit zu betreiben. Diese Raspberry Pis sind schon kleine Phänomene und echt nützliche Helfer.

Auf meinem Server läuft schon eine Nextcloud-Instanz und irgendwas hat sich bie der Einrichtung gebissen. Ich habe eine neue Datenbank angelegt und wollte die Nextcloud 14 wie gewohnt einrichten. Allerdings gab es einen Datenbankfehler. Obwohl Passwort und Anwender richtig waren, motzte die Konfiguration etwas in der Art:

Error while trying to create admin user: Failed to connect to the database: An exception occured in driver: … Access denied for user ‚oc_XXX’@ …

Lange Rede, kurzer Sinn: Zugriff verweigert, kann keinen Admin-Anwender einrichten. Gut Du bockiges Ding, dachte ich mir, zähmen wir Dich eben über die Kommandozeile. Dazu meldest Du Dich auf dem Server an, begibst Dich in das Verzeichnis der Nextcloud und feuerst einen Befehl in der Art ab:

sudo -u www-data php occ maintenance:install --database "mysql" --database-name "DATENBANKNAME" --database-user "DATENBANKANWENDER" --database-pass "PASSWORT-DES-DATENBANKANWENDERS" --admin-user "NAME-DES-GEWÜNSCHTEN-NC-ADMIN-NAMENS" --admin-pass "PASSWORT-DES-NC-ADMINS"

War einen Versuch wert, hat aber leider nichts gebracht. Nach ein bisschen Recherche kam heraus, dass das Problem wohl öfter vorkommt. Woran es genau liegt, hab ich nicht untersucht. Irgendwas beißt sich wohl mit dem DB-Anwender, den Du selbst festlegst. Ist ärgerlich, es gibt aber eine Lösung. dazu melden wir uns zunächst an der Datenbank an:

 sudo mysql --user=root mysql

Danach hat mir so ein Befehl geholfen. Im Endeffekt gebe ich meinem bereits angelegten DB-Anwender alle Rechte auf die Datenbank, die für Nextcloud 14 vorgesehen ist.

GRANT ALL PRIVILEGES ON *.* TO 'MEIN-DB-USER'@'localhost' WITH GRANT OPTION;
FLUSH PRIVILEGES;

Damit hat es dann auch geklappt. Hast Du noch keinen speziellen Anwender für den Zweck, lege einfach einen an:

CREATE USER 'MEIN-DB-USER'@'localhost' IDENTIFIED BY 'EIN-PASSWORT';

Nach der Prozedur konnte ich die Nextcloud 14 auf jeden Fall einrichten und mich auch anmelden.

So grüßt Dich die Nextcloud 14

Nextcloud 14 mit neuer Begrüßung

Die Neuerungen in Nextcloud 14

So, die Installation ist geglückt und es ist Zeit, dass wir uns mit den Neuerungen beschäftigen. Dazu krusche ich einfach durch die diversen Ankündigung und fasse die wichtigsten Neuerungen der Nextcloud 14 einfach zusammen.

Auf die geplante End-to-End-Verschlüsselung (E2E) gehe ich wie bereits erwähnt in einem separaten Beitrag ein. Das hat ein paar Nerven gekostet, aber sie funktioniert. Ehrlich gesagt ist End-to-End-Verschlüsselung die Funktion, auf die ich mich am meisten in Nextcloud 14 freue. Aber es gibt noch andere Highlights.

2FA (Zweifaktorauthentifizierung) via Telegram, Signal und SMS

Die Nextcloud-Entwickler bringen neue 2F-Provider ins Spiel, die sie als Gateway-2FA-Provider bezeichnen. Damit lassen sich sichere Messaging Apps wie zum Beispiel Signal und Telegram als 2FA nutzen. Auch einige SMS Gateways kannst Du für den zweiten Faktor nehmen.

Die Entwickler weisen aber ausdrücklich darauf hin, das die Authentifizierung mit Signal auf einen Docker Container eines Dritten setzt.

Darüber hinaus funktioniert der zweite Faktor nun auch via NFC (Yubikey NEO).

2FA über Signal, Telegram und SMS - nextcloud 14

Nextcloud 14 erlaubt 2FA via Telegram, Signal und SMS

Verifizierung via Video

Diese neue Security-Funktion stellt sicher, dass auch wirklich nur die Person die geteilten Daten sieht, für die sie bestimmt sind. Anders gesagt ist es für streng vertrauliche Daten.

Ist die Option aktiviert, bekommt der Anwender nur den Link zur geteilten Datei, aber nicht das Passwort. Öffnest Du nun den Link, erscheint eine Schaltfläche, über die Du ein Passwort anfragen kannst. Die Schaltfäche wiederum startet Nextcloud Talk. Daraufhin klingelt Dein Smartphone und Du kannst der Person das Passwort direkt sagen. Somit kann der Sender verifizieren, dass Du die richtige Person bist. Die Entwickler von Nextcloud demonstrieren, wie das funktioniert in einem YouTube-Video.

HackerOne über das Bug-Bounty-Programm

Nextcloud lässt sich hacken und zahlt auch noch dafür. Wer sich ein bisschen mit IT-Security beschäftigt, wird das kennen. Kopfgeld für Bugs.

Es gibt einen Bericht von HackerOne, wie Nextcloud mit einem engen Budget trotzdem die Securrity-Lücken handhabt und schließt. Allerdings musst Du Dich registrieren, um an den Bericht zu kommen und darauf hatte ich keine Lust. Aus diesem Grund kann ich dazu wenig sagen. Ich glaube einfach mal, dass sich die Entwickler und die Fehler kümmern. 🙂

SAML und Kerberos

In Zusammenarbeit mit der TU Berlin haben es die Nextcloud-Entwickler ermöglicht, dass Du Dich an Samba via Kerberos authentifizieren kannst. Der Serve braucht dafür aber bereits ein gültiges Ticket.

Die Nextcloud SAML App wurde aktualisiert und es gibt Unterstützung für mehrere Identity Provider. Ein Server kann nun lokals als auch SAML-Authentifizierung bereitstellen. Die Konfiguration von SAML haben die Entwickler ebenfalls vereinfacht.

DSGVO – Unser aller Liebling

Nextcloud 14 bringe eine Data Protection Confirmation App und eine separate Audit-Log-Datei. Mich nervt das ganze Thema so dermaßen, deswegen verweise ich einfach auf die Website von Nextcloud zur DSGVO oder GPDR, wie es auf Englisch heißt.

Talk und Groupware

Bei Nextcloud Talk gibt es ebenfalls einige tolle Verbesserungen. Du kannst einer Konversation ohne Kamera und Mikrofon beitreten. Weiterhin kannst Du gleichzeitig mehrere Chats in verschiedenen Browser-Fenstern offen haben.

Die Unterhaltungen werden ab sofort nach letzter aktiver Konversation sortiert. Außerdem lassen sich Unterhaltungen oben an der Liste anheften.

Das @ ist da! Du kannst Teilnehmer mit @NameDesAnderen im Chat ansprechen. Weiterhin siehst Du die Anzahl der ungelesenen Chat-Nachrichten und bist Du mit @ direkt erwähnt, wird das separat markiert.

Ein Chat ist auch über die mobilen Apps möglich.

Bei der Nextcloud Groupware Suite gibt es nun die Möglichkeit, Ressourcenbuchung in die Kalender-App vorzunehmen. Weiterhin wurde die Deck App stark verbessert. Das ist eine digitale Kanban-Tafel, die nun offiziell in die Nextcloud Groupware integriert wurde. Sie arbeitet außerdem mit Nextcloud Files zusammen und somit können Teams ihre Projekte gemeinsam planen.

Swift v3 und Verbesserungen bei der Administration

Nextcloud 14 bieteUnterstützung für Swift v3 Identity API. Das interessiert mich zwar weniger, weil es für meinen Anwendungsfall etwas übertrieben wäre, auf Swift zu setzen. Wer allerdings eine größere Installation in einem Data Center plant, der dürfte sich sehr wohl darüber freuen. Swift ist OpenStack Object Store. Darauf gehe ich nun nicht weiter ein, ich wollte es nur erwähnt haben.

Für Administratoren wurde das App-Management einfacher gemacht. Es fühlt sich tatsächlich so an. Auch dazu mehr in einem separaten Beitrag über das Web-GUI und so weiter.

Weiterhin kannst Du als Administrator die Nextcloud 14 so konfigurieren, dass sie das systemd Log benutzt. Dann weißt Du bei einer Fehlersuche auf jeden fall sofort, wo Du nachsehen kannst. Du aktivierst das Logging via systemd, indem Du in der Datei config.php die nachfolgende Zeile hinterlegst:

'log_type' => 'systemd'

Damit das Logging so funktioniert, muss allerdings die Erweiterung php-systemd installiert sein. Mir wird jeder Systemverwalter bestätigen können, dass das Log des Admins bester Freund ist!

Was Entwickler zu Versionierung und Federation 2.0 wissen sollten

Entwickler haben bei der Nextcloud 14 über das API Zugriff auf die Versionierung und die gelöschten Dateien. Bei den kommenden Versionen für Desktop und mobile Clients wirkt sich das bereits aus.

Weiterhin werden die PHP-Versionen 7.0, 7.1 und 7.2 unterstützt. Weiterhin soll die kommende PHP-Version 7.3 so bald wie möglich unterstützt werden.

Es gibt einen verbesserten ARGON2I-Hasing-Algorithmus und mit Federation 2.0 können Entwickler Kalender, Kontakte, Chats und so weiter zwischen Nextcloud-Servern austauschen, wenn sie die Funktion in ihren Apps benötigen. Für Entwickler gibt es einen Blog-Beitrag der Entwickler.

Nextcloud wird einfach immer besser und ich möchte sie nicht mehr missen

Ich setze in der Zwischenzeit sehr stark auf meine eigene Nextcloud (derzeit 13) und benutze sie intensiv. Ich gleiche Kalender und Kontakte damit ab, synchronisiere diverse Geräte und lasse auch Fotos von meiner Android-Kamera direkt hochladen.

Die private Cloud ist einfach praktisch und vor allen Dingen habe ich die Kontrolle über meine Daten. Früher hatte die ownCloud / Nextcloud noch wesentlich mehr Ecken und Kanten, aber der hauptsächlich Datenschutz hat mich dazu getrieben, einen großen Bogen um Anbieter wie Dropbox, Google Drive und so weiter zu machen.

Mit Nexcloud 14 legen die Entwickler die Latte wieder ein Stück höher. Gerade die End-to-End-Verschlüsselung (E2E) ist eine sehr große Bereicherung. Bisher ließen sich Daten schon verschlüsseln, aber der Server-Admin hatte sozusagen den Generalschlüssel. Mit der E2E-Verschlüsselung kann nur noch der Anwender über den Client auf die Daten zugreifen. Der Nachteil ist natürlich – ist das Zertifikat weg oder Du verlierst die Mnemonic-Passphrase / das Passwort , sind auch die Daten verloren. Aber wie gesagt, mehr dazu in einem Artikel, der sich speziell um das Thema kümmert. Da zeige ich Dir, wie das mit der Verschlüsselung bei der Nextcloud 14 funktioniert.

Nette Pi-Konstellation

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
)
oder

Bitcoin-Adresse: 17F1hqc9LgsAC19DPv5PaRbqsEhuE8AmAA

Ethereum-Adresse: 0x9cc684575721dc07b629ad5d81b43ab4b992e76e

Verge-Adresse: DJaJtZeW494xhnRJJt19Lnt2R5pz7zRp5A

Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!

 
 Alle Kommentare als Feed abonnieren

8 Kommentare zu “Nextcloud 14 Neuerungen: 2FA-Unterstützung via Signal, Telegram, SMS”

  1. JamFX sagt:

    Wieder ein toller Beitrag. Danke!

    Mein aktuelles Problem mit Nextcloud ist, daß unter Linux Mint 19 Cinnamon der SyncClient ständig das Passwort vergisst und ich es bei jedem Neustart neu eingeben muss. Das nervt brutal....
    Hast du da einen Tipp?
    Gruß JamFX

  2. Alexander sagt:

    Hallo. Mal wieder ein toller und informativer Artikel!!
    Beim Lesen bin ich aber über Folgendes gestolpert: "Bei der Nextcloud Groupware Suite gibt es nun die Möglichkeit, Einträge in die Kalender-App vorzunehmen. "
    Mir erschließt sich nicht, was damit gemeint ist, da ich Termine im Kalender eigentlich schon immer erstellen und bearbeiten konnte. Vielleicht könnt ihr mich aufklären.

  3. Alexander sagt:

    Ah! Danke. Von dem Feature habe ich schon gehört. Spannende Sache! Leider gibt es im Moment noch keine ordentliche Oberfläche zur Ressourcenverwaltung, oder?
    Offensichtlich soll die Calendar-App mit Vue.js überarbeitet werden. Ich hoffe, dass das dann ordentlich integriert wird und der Kalender allgemein nicht mehr ganz so stiefmütterlich behandelt wird. Irgendwie fehlt das ein oder andere Feature ja doch noch.

  4. JamFX sagt:

    Hi, danke für den Hinweis. Also: Ich nutze es aus dem PPA. Dein Hinweis und der Link brachten mich auf die Fährte. Es ist so, dass offensichtlich das Paket "libgnome-keyring0" fehlt was ich mit entsprechendem Befehl sudo apt... nachgeworfen habe. Jetzt komme ich allerdings vom Regen in die Traufe. Denn scheinbar wird der Keyring-Daemon jetzt bei jedem login gestartet aber kann sich selbst nicht entsperren. Mit dem Ergebnis, dass ich jetzt "nur noch 1x" ein Passwort eingeben muss, statt bisher x-Mal für meine ganzen NextCloud-Instanzen. Es wäre natürlich prima, wenn sich der Deamon selbst entsperren würde. Ich werde jetzt mal "Tante G" bemühen und hoffentlich eine Lösung finden. Falls du auch hier einen Tipp hast, wäre ich natürlich dankbar. 🙂
    Grüße JamFX

  5. JamFX sagt:

    Ich hab die Lösung ganz zackig selbst gefunden. Über -> Menü -> Passwörter und Verschlüsselung kann man zu seinem Anmelde-Passwortmanager kommen. Hier gibt man das Passwort ein, was man beim ersten Start gesetzt hat. Danach kann man das Passwort leer lassen, die Warnung bestätigen und schon ist das Problem gelöst!

    • jdo sagt:

      Zumindest stimmte die Richtung. 🙂

      Ich hatte vor einige Jahren auch so ein Problem mit dem Keyring, von daher war es ein gezielter Schuss ins Blaue. Das mit dem leeren Passwort beim Keyring wäre nun mein nächster Schritt gewesen, denn das hat es damals auch bei mir gelöst.

      Cool, dass es geklappt hat!

Antworten