我假設你已經有一個owncloud 8系統并運行。 那里有一些很好的例子。 你也可以看一下在本網站上如何安裝owncloud 8和nginx 。

另外我假設你正在運行一個privacyIDEA系統。 這個方法不包括privacyIDEA的安裝。 您還可以在Howtoforge中找到如何在CentOS上安裝privacyIDEA，也可以使用文檔中的安裝說明 。

請注意：您不需要在同一臺服務器上運行privacyIDEA和ownCloud。 在一個服務器上安裝privacyIDEA作為身份驗證系統，并根據此privacyIDEA配置其他應用程序（如ownCloud），您將釋放此類設置的全部功能。 這還包括您不需要管理ownCloud的身份驗證設備，您的第二個應用程序的身份驗證設備和第三個應用程序的身份驗證設備等優點。 你會看到，如果你有幾個應用程序和兩個以上的用戶，這個解決方案證明了它的優勢。 但當然也可以在較小的情況下工作。

請注意： ownCloud privacyIDEA應用程序處于早期開發階段。 所以您提供的任何反饋都非常感謝，并將有助于改進此工具。 您可以通過github問題或通過Google群組來提供反饋意見。

privacyIDEA有一個條件。 自己的Cloud用戶必須以privacyIDEA或其他方式知道，您在privacyIDEA中分配令牌的用戶也必須在ownCloud中可用。

您可以運行用戶位于LDAP目錄中的安裝程序，但在本示例中，我們僅使用現有的ownCloud SQL用戶表。

請注意：如果您在不同的服務器上運行privacyIDEA和ownCloud，則需要授予對SQL數據庫的訪問權限。 在MySQL / MariaDB的情況下，您需要修改/etc/mysql/my.cnf中的綁定地址 ，如下所示：

 bind-address = 0.0.0.0 

此外，您需要根據MySQL添加訪問權限：

 grant all privileges on owncloud.* to "ocuser"@"privacyIDEA-Server" identified by "password"; 

現在，MySQL用戶“ocuser”可以從privacyIDEA服務器訪問ownCloud服務器上的數據庫。

警告：到MySQL服務器的網絡流量未加密。 如果您運行此方案，我們非常建議您設置TLS。 您還可以在本網站上找到一些使用SSL設置MySQL的howtos。

現在我們將privacyIDEA連接到ownCloud，以便privacyIDEA知道用戶。 我們在Config→Users創建一個新的用戶解析器 。

您可以點擊ownCloud應該預設數據庫屬性映射中所有必需字段的按鈕。

然后，您可以單擊測試SQL解析器來查看，如果一切順利。

現在您可以通過Config→Realms從解析器創建默認域。

您現在應該在“ 用戶 ”選項卡中查看ownCloud用戶，并可以為這些用戶注冊令牌。

privacyIDEA支持各種令牌，您可以在這里找到。

我們將以簡單的例子快速注冊Google Authenticator。

轉到用戶視圖，選擇一個用戶來查看用戶的詳細信息。 在這里您可以點擊按鈕注冊新令牌 。

在注冊對話框中，您可以選擇令牌類型，并根據輸入不同詳細信息所需的令牌類型。 但是在這個例子中，我們使用默認的Token類型HOTP 。 在頁面的底部，您可以輸入OTP PIN。

單擊注冊令牌 。

該令牌已注冊，您會看到一個QR碼，您可以使用Google Authenticator App進行掃描。

其他令牌類型以其他方式注冊，這超出了本教程的范圍。 有關更多信息，請參閱privacyIDEA文檔 。

現在我們完成了，因為ownCloud用戶分配了一個令牌。 您可以重復此過程，以進一步為自己的Cloud用戶。

首先，您需要下載ownCloud privacyIDEA應用程序。

您可以在這里下載App。 您需要將目錄user_privacyidea 復制到您自己的Cloud目錄apps / 。 假設你把ownCloud安裝到/ var / www / owncloud ，這樣你就可以得到一個結構了

 root@owncloud:~# ls /var/www/owncloud/apps/user_privacyidea/ -l -rw-rw-r-- 1 root root 1671 Jun 25 15:05 adminSettings.php drwxrwxr-x 2 root root 4096 Jun 25 15:17 appinfo drwxrwxr-x 2 root root 4096 Jun 25 15:17 img drwxrwxr-x 2 root root 4096 Jun 25 15:17 js drwxrwxr-x 2 root root 4096 Jun 25 15:17 lib drwxrwxr-x 2 root root 4096 Jun 25 15:17 templates 

privacyIDEA應用程序實現為ownCloud用戶后端，并將作為現有用戶后臺的覆蓋圖，以便能夠跳轉到身份驗證請求，以將第二個因素添加到登錄。

轉到應用程序→不啟用并啟用應用程序。

然后，您可以訪問您的用戶→管理員來配置privacyIDEA應用程序。

您需要提供privacyIDEA服務器的URL 。 您應該運行帶有受信任證書的privacyIDEA服務器。 如果在安裝過程中沒有可信任的證書，可以取消選中VerifyID SSL服務器的SSL證書 。

為了避免鎖定您，您可以勾選復選框， 還允許用戶使用其正常密碼進行身份驗證 。 在這種情況下，如果對privacyIDEA的身份驗證失敗，則用戶將針對底層的ownCloud用戶后端進行身份驗證。 在生產性使用中，您應該取消選中此復選框。

桌面客戶端當然會出現一次性密碼問題。 如果您使用這樣的客戶端，您應該勾選允許使用靜態密碼訪問remote.php的API 。 在這種情況下，來自桌面客戶端（由remote.php標識）的身份驗證請求將不會針對privacyIDEA而是針對底層用戶后端進行身份驗證。

最后，如果一切正常，您可以通過勾選“ 使用privacyIDEA ”復選框來激活雙因素身份驗證。

激活privacyIDEA應用程序后，ownCloud的登錄屏幕不會更改。

要登錄，您需要輸入用戶名，并在密碼字段中輸入您的Google身份驗證器生成的OTP密碼和OTP值。