WebDAV構築手順

自前のオンラインストレージ構築

「DropBox」や「Google Drive」のような無料・安価なオンラインストレージは数多くありますが、 個人で使用する上では問題ありません。
しかし企業として利用する際は、社内セキュリティポリシーやコンプライアンス的に許可されない場合があります。
「DropBox」や「Google Drive」のような無料・安価なオンラインストレージでは、下記のような細かなセキュリティ要件を満たしません。

・アクセス元をIPで制限する。
・社内認証(LDAP/AD連携)する。
・アクセスログ、ファイル操作ログを取得する。
・自社専用オンラインストレージである必要がある。
・ウィルス対策ソフトでのウィルス拡散を防止する必要がある。

上記の解決策としては、自前でオンラインストレージサーバを構築することです。 自前オンラインストレージとして、下記の二つがあります。
・ApacheでWebDAVを構築する。
・オンラインストレージパッケージ(ownCloud)を導入する。

WebDAV構築手順

ここでは、ApacheでWebDAVを構築する手順を説明します。
ApacheでWebDAVを構築する際のポイントは下記の通りです。
■ファイルロック設定
■セキュリティ設定
　・暗号化通信のみ許可
　・認証：基本認証をAD連携
■ログ出力の制御
■Windowsエクスプローラでアクセス可能
■WebDAVのトラブルシューティング

Apacheの基本設定

Apacheの基本設定は、下記記事を参考に設定してください。 ・Apache構築手順【基本設定】
・Apache構築手順【仮想ホスト設定】

WebDAVモジュールの有効化

WebDAVモジュールの有効化を確認する。

# vi /etc/httpd/conf/httpd.conf

LoadModule dav_module modules/mod_dav.so
LoadModule dav_fs_module modules/mod_dav_fs.so

ロックファイルディレクトリの指定

WebDAVでロックを行うためのロックファイルを作成するディレクトリを指定する。

# vi /etc/httpd/conf/httpd.conf

<IfModule mod_dav_fs.c>
  #DAV ロックデータベースの位置
  DAVLockDB /var/lib/dav/lockdb
</IfModule>

WebDAVのTimeOUT設定

WebDAVのタイムアウト値を設定する。

# vi /etc/httpd/conf/httpd.conf

#WebDAVのTimeOut設定
DAVMinTimeout 1800

不要ログの排除

WebDAVを運用する際、ファイル閲覧、削除、更新操作のログは必要となると思うが、 デフォルトの設定では、それ以外に不要な操作ログが大量に出力される。
例えば、ディレクトリにアクセスした際にファイル一覧を表示しただけでログが出力される。
ファイル数の多いディレクトリの場合、ファイル数に応じで出力が多くなってしまう。
下記「PROPFIND」はログ出力しないようにすれば、不要なログ出力を抑えられる。

SetEnvIf Request_Method PROPFIND nolog
CustomLog "| /usr/local/sbin/cronolog /var/log/httpd/%Y%m/webdav_ssl_access.%Y%m%d.log" combined env=!nolog

WebDAVパスの設定

WebDAVの対象となるディレクトリのエリアス設定とWebDAVの有効化を行う。
またセキュリティ強化のため、SSL通信(暗号化通信)のみ許可する設定にする。
設定場所はグローバル設定または仮想サイトの中に記述する。

# vi /etc/httpd/conf/httpd.conf

 
#WebDAVを利用するエイリアス設定(任意)
Alias /webdav /nfs-data/webdav

<Location /webdav>
  DAV on
  SSLRequireSSL
  Options Indexes
  Header add MS-Author-Via "DAV"
  BrowserMatch "Microsoft Data Access Internet Publishing Provider" redirect-carefully
  BrowserMatch "MS FrontPage" redirect-carefully
  BrowserMatch "^WebDrive" redirect-carefully
  BrowserMatch "^WebDAVFS/1.[0123]" redirect-carefully
  BrowserMatch "^gnome-vfs/1.0" redirect-carefully
  BrowserMatch "^XML Spy" redirect-carefully
  BrowserMatch "^Dreamweaver-WebDAV-SCM1" redirect-carefully
  BrowserMatch "Microsoft Data Access Internet Publishing Provider" redirect-carefully
  BrowserMatch "^WebDrive" redirect-carefully

  <LimitExcept OPTIONS>
    Order deny,allow
    Deny from none
    Allow from all
  </LimitExcept>

  Order deny,allow
  Deny from none
  Allow from all
</Location>

基本認証設定

上記のLocation内に基本認証の記述を行う。
下記記述はActiveDirectory連携した基本認証の記述である。

<Location /webdav>
#省略(上記参照)
#基本認証（AD連携）
AuthType Basic
AuthName "ActiveDirectory Auth"
AuthBasicProvider ldap
AuthLDAPURL "ldap://dc-01.hoge.co.jp:389/OU=clients,DC=hoge,DC=co,DC=jp?sAMAccountName?sub?(objectClass=*)"
AuthLDAPBindDN "hoge\testapache"
AuthLDAPBindPassword "password"
AuthzLDAPAuthoritative Off
Require ldap-group CN=webdav-g,OU=clients,DC=hoge,DC=ati,DC=co,DC=jp
</Location>

■ActiveDirectory連携した基本認証に関する記事
　・CentOSとAD連携について
　・CentOSをドメイン参加させずにKerberos認証する
　・ApacheでAD連携(LDAP認証)
　・ApacheでAD連携(Kerberos認証)
　・SAMBAで2台目DCサーバを構築する

WebDAVディレクトリの設定

HTTPDデーモンのユーザとグループは「apache:apache」であることを前提として説明します。
■WebDAVディレクトリの作成

# mkdir -p /nfs-data/webdav

■所有者、権限変更

# chown apache:apache /nfs-data/webdav
# chmod 711 /nfs-data/webdav

WebDAV設定の反映

#  /etc/init.d/httpd restart

クライアント側の設定

自己証明書のルート証明書インストール

WebDAVに自己証明書を導入した場合、Windows７以降ではアクセスができないようになっています。
その場合は、自己証明書のルート証明書をインストールする必要があります。
■IEの[信頼済みサイト]に登録
・IE(インターネットエクスプローラ)起動
・[ツール]メニュー - [インターネットオプション]選択
・[インターネットオプション]ダイアログ起動 - [セキュリティ]タブ - [信頼済みサイト]選択 - [サイト]クリック
・[このWebサイトをゾーンに追加する]の入力欄にWEBDAVのURLを記入 - [追加] - [閉じる] ・[インターネットオプション]ダイアログに戻り - [OK]
・IE(インターネットエクスプローラ)再起動

■自己証明書のルート証明書インストールする
WEBDAVサイトにIEでHTTPSアクセスし、自己証明書のルート証明書インストールします。
WEBDAVサイトにHTTPSアクセスした状態で下記作業を行います。
・アドレスバー右横にある鍵アイコンをクリック - 「証明書の表示」 ・証明書ダイアログ - 「全般」タブ - [証明書のインストール]
・[証明書のインポートウィザードの開始]画面　- [次へ]
・[証明書ストア]画面 - [証明書をすべて次のストアに配置する] - [参照]クリック
・[証明書ストアの選択]ダイアログ - [信頼されたルート証明基幹] - [OK]
・[証明書ストア]画面 - [次へ]
・[証明書のインポートウィザードの完了]　- [完了]クリック
・セキュリティ警告 - [はい]
・「正しくインポートされました。」ダイアログがでれば完了
※「認証ストア」画面で「証明書の種類に基づいて、自動的に証明書ストアを選択する」を選択するとうまく動作しません。

ネットワークドライブ設定

・[マイネットワーク] - [ネットワークドライブの割り当て]
・[ネットワークドライブの割り当て]起動 - 下記情報入力 - [完了]
　　ドライブ：Z
　　フォルダー：https://webdav.hoge.co.jp/webdav/
・認証ダイアログ - 基本認証のアカウント入力 - [OK]

WebDAVのトラブルシューティング

WEBDAVが利用できない場合の多くは、①HTTPSが自己証明書で基本認証設定していること、②WebClintsが起動していないことです。
①は証明書を購入してインストールする。または自己証明書のルート証明書をインストールすることで解決できます。
　自己証明書のルート証明書をインストール手順は上記を参照してください。
②WebClientサービスを「手動」に設定する

WebDAV サイトにドライブをマップしようとする際に、次のエラーが発生することがあります。

System error 67 has occurred.（システムエラー67 が発生しました。）
ネットワーク名が見つかりません。

これは、次のいずれかの状況が原因で発生します。

・接続しようとしているサーバーに IIS がインストールされていないか、または IIS が実行されていません。
・クライアント システムに WebDAV リダイレクターがインストールされていません。
・クライアント システムで WebClient サービスが実行されていません。
・Web サイトで WebDAV が有効になっていません。
・基本認証を使用しており、HTTPS ではなく HTTP を使用して Web サイトに接続しようとしています。

オンラインストレージに関するおすすめ書籍

GoogleドライブPERFECT GUIDE 著者：石井 英男 出版日：2012-07-04 出版社：ソフトバンククリエイティブ

Dropbox Perfect GuideBook 著者：大重 美幸 出版日：2014-06-15 出版社：ソーテック社