Информация | ||
---|---|---|
| ||
Раздел "Ограничение отображения сетевых принтеров в LibreOffice" применим только к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7). Раздел "Ограничение видимости заданий (Astra Linux Special Edition 1.6.9 и Astra Linux Common Edition 2.12.43)" применим только к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9) и к Astra Linux Common Edition 2.12.43. |
Включение удаленного использования сервера печати
Для включения удаленного использования сервера печати:
От имени администратора (в Astra Linux Special Edition с включенным МКЦ - администратора с высоким уровнем целостности) через механизм sudo выполнить следующие командыкоманду:
Command borderColor #c2e6ff bgColor #e2f3ff sudo cupsctl --remote-admin --share-printers --remote-any
sudo cupsctlServerAlias=*
В конфигурационном файле /etc/cups/cupsd.conf удалить строку:
Блок кода icon false Port 631
и строку Listen привести к виду:
Блок кода icon false Listen 0.0.0.0:631
При первичных настройка значение параметра DefaultAuthType должно быть Basic;
Проверить корректность конфигурационных файлов:
Command sudo cupsd -t
Перезапустить сервер печати CUPS командой:
Command sudo systemctl restart cups
Проверить состояние сервиса печати CUPS командой:
Command sudo systemctl status cups
Добавление принтера через web-интерфейс CUPS
Примечание |
---|
Пользователь, от имени которого будут выполняться действия по настройке принтеров, должен быть добавлен в группу lpadmin. |
Для добавления принтера открыть web-браузер и ввести адрес:
Подсказка | ||
---|---|---|
| ||
|
Нажать кнопку "Добавить принтер", на запрос аутентификации ввести имя и пароль пользователя, входящего в группу lpadmin.
Далее будет представлен список устройств для выбора. Фактическое имя принтера отображается рядом с меткой ( например, USB-принтеры напротив USB Printer #1). Принтеру можно присваивать любое имя, аналогично для пунктов 'Расположение' и 'Описание'. После выбора соответствующего драйвера настройки будут окончены.
Примечание |
---|
При установке USB-принтер должен отображаться в списке устройств на странице Добавить принтер. |
Убедитесь в правильности настроек, нажав на кнопку Print Test Page (Печать тестовой страницы) в выпадающем меню Maintenance (Обслуживание). Если принтер не печатает, но вы уверены в правильности всех настроек, попытайтесь сменить драйвер принтера на другой.
Печать файла из командной строки
Печать файла из командной строки можно выполнить командой:
Command |
---|
lp -d *имя_принтера* *имя_файла* |
Добавление сетевого принтера из командной строки
Добавление сетевого принтера из командной строки можно выполнить командой:
Command |
---|
lpadmin -p printername -E -v socket://11.22.33.44 -m drv:///sample.drv/laserjet.ppd |
Ограничение отображения сетевых принтеров в LibreOffice
Информация |
---|
Раздел "Ограничение отображения сетевых принтеров в LibreOffice" применим только к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20210611SE16 (очередное обновление 7) |
По умолчанию при выборе устройства печати в LibreOffice (Файл - Печать - Принтер) в списке устройств отображаются все обнаруженные сетевые принтеры. Для того, чтобы в списке доступных устройств отображались только принтеры, добавленные через менеджер печати Fly, нужно добавить в файл /etc/cups/client.conf строчку:
Блок кода |
---|
DiscoveredOnly Yes |
после чего перезапустить службу cups:
Command |
---|
sudo systemctl restart cups |
Копирование настроек принтеров
Для централизованного управления можно копировать файлы /etc/cups/printers.conf и /etc/cups/ppd/* с компьютера с настроенным принтером на удаленный компьютер при помощи scp:
Command |
---|
scp /etc/cups/printers.conf 10.10.10.10:/etc/cups/ |
Настройка печати на локальной машине
Примечание |
---|
Пользователь, от которого будут выполняться действия по настройке принтеров, должен быть добавлен в группу lpadmin. Пользователь, от которого будут выполняться действия по маркировке заданий, должен быть добавлен в группу lpmac ( groupadd -g 900 lpmac если не создана).Это может быть один и тот же пользователь. |
- Настроить удаленное использование сервера печати;
- Выполнить вход на сервере печати от имени учетной записи, входящей в группу lpadmin, и настроить принтеры (установить политику parsec и назначить максимальные допустимые уровни заданий). Настройка принтеров может быть выполнена с использованием утилиты fly-admin-printer (см. электронную справку);
На клиентских машинах создать файл /etc/cups/client.conf, в котором должен быть задан единственный параметр ServerName, определяющий имя сервера печати, например:
Блок кода icon false ServerName computer.domain<имя_сервера_печати>
В Astra Linux Special Edition для печати документов с ненулевой классификационной меткой через графическую утилиту "Менеджер печати Fly" (fly-admin-printer) для принтера указать политику parsec и допустимые уровни конфиденциальности.
Настройка печати с аутентификацией через Kerberos
(ALD)Для корректной работы команды cupsctl на сервере должна быть выполнена настройка клиента, т.е должен быть создан файл /etc/cups/client.conf, в котором должен быть задан единственный параметр ServerName, определяющий имя сервера печати:
Блок кода | ||
---|---|---|
| ||
ServerName <имя_сервера_печати> |
Настройка печати с аутентификацией через Kerberos в домене FreeIPA
Описание стенда
- dc.domain.ipa – контроллер домена FreeIPA;
- printserver.domain.ipa (сервер cups может находиться и на контроллере домена FreeIPA, в таком случае далее printserver заменить на dc);
- client.domain.ipa – клиент FreeIPA
Настройки на контроллере домена
Настройки могут выполняться через графический интерфейс FreeIPA или через интерфейс командной строки (CLI) FreeIPA. Далее приведены примеры с использованием CLI.
Получить билет Kerberos администратора домена (для примера - только при работе с CLI. Для примера используется имя администратора admin):
Command kinit admin Создать доменную группу print_admins:
Command Title ipa group-add print_admins -------------------------------
Добавлена группа "print_admins"
-------------------------------
Имя группы: print_admins
ID группы: 848400014Добавить доменных пользователей, которые будут выполнять функции администратора печати, в доменную группу print-admins. Например:
Создать пользователя ipa_print_admin:
Command ipa user-add ipa_print_admin --first <имя> --last <фамилия> Добавить доменных пользователей доменного пользователя ipa_print_admin в доменную группу print_admins:
Command ipa group-add-member --users=ipa_print_admin print_admins Добавить доменных пользователей доменного пользователя (для примера - ipa_print_admin) в локальную группу lpmac командой:
Command sudo gpasswd -a ipa_print_admin lpmac
На контроллере домена зарегистрировать службу печати ipp:
Command ipa service-add ipp/printserver.domain.ipa
Настройки на сервере печати
- Войти в сессию пользователя - администратора системы (на Astra Linux Special Edition с включенным МКЦ - администратора с высоким уровнем целостности);
Получить билет Kerberos администратора домена для суперпользователя:
Command sudo kinit admin Получить таблицу ключей для зарегистрированной службы печати ipp/printserver.domain.ipa@DOMAIN.IPA и сохранить её в файле /root/ipp.keytab:
Command sudo ipa-getkeytab -p ipp/printserver.domain.ipa@DOMAIN.IPA -k /root/ipp.keytab Добавить ключи из файла /root/ipp.keytab в хранилище Kerberos /etc/krb5.keytab, для чего:
Выполнить команду:
Command sudo ktutil << EOF
rkt /root/ipp.keytab
wkt /etc/krb5.teytabkeytab
q
EOFВвести команды:
Блок кода ktutil: rkt /root/ipp.keytab ktutil: wkt /etc/krb5.teytab ktutil: q
Убедиться, что ключи добавлены:
Command sudo klist -kte /etc/krb5.keytab
Настройка службы печати CUPS
В файле /etc/cups/cups-files.conf заменить строку:
Блок кода SystemGroup lpadmin
на строку:
Блок кода SystemGroup lpadmin print_admins
Информация В значениях параметра должны быть перечислены группы пользователей, которым разрешено управление принтером. Например, туда можно временно добавить группу admins чтобы предоставить право управления локальным администраторам на время настройки системы.
Предполагается, что удаленный доступ к службе печати уже настроен как указано выше. Выполнить команды (если управление разрешено текущему пользователю):
Command sudo cupsctl
Command sudo cupsctl --remote-admin --share-printers --remote-any
sudo cupsctl ServerAlias=*
sudo cupsctl DefaultPolicy=authenticated
sudo cupsctl MarkerUser=ipp
sudo cupsctl ServerName=printserver.domain.ipa
sudo cupsctl MacEnable=On
sudo cupsctl DefaultAuthType=Negotiateили действуя от имени администратора прямо отредактировать конфигурационный файл /etc/cups/cupsd.conf, указав (добавив) нужные значения (знак "=" не используется, значения параметров указываются через пробел):
Включить удаленное использование сервера печати;Блок кода DefaultAuthType Negotiate
DefaultPolicy authenticated ServerName printserver.domain.ipa
Проверить корректность конфигурационного файла:
Command sudo cupsd -t
Перезапустить службу печати CUPS сервер командой:
Command sudo systemctl restart cups
Настройка печати с аутентификацией через Kerberos в домене ALD
Для выполнения действий по управлению принтерами и очередями печати необходимо:
Создать в ALD учетную запись группы администраторов печати:
Command borderColor #c2e6ff bgColor #e2f3ff icon false sudo
ald-admin group-add print_adminsДля выполнения действий по маркировке заданий создать в ALD группу:
lpmac_ald (только для версии Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и при использовании в домене ALD):
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-admin group-add lpmac_ald
lpmac (для всех остальных версий ОС Astra Linux Special Edition):
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-admin group-add lpmac
В файле /etc/cups/cups-files.conf в значении параметра SystemGroup установить значение print_admins;
Создать в ALD учетную запись администратора печати и добавить ее в группу администраторов печати ALD, например выполнив команды:
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-admin user-add ald_print_admin
sudo ald-admin group-mod print_admins --add-users --user=ald_print_admin
- Добавить администратора печати в группу
lpmac_ald (только для версии ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и при использовании в домене ALD):
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-admin group-mod lpmac_ald --add-users --user=ald_print_admin
lpmac (для всех остальных версий ОС Astra Linux Special Edition)
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-admin group-mod lpmac --add-users --user=ald_print_admin
Для обеспечения совместной работы сервера печати с ALD создать в БД ALD с помощью утилиты администрирования ALD принципала, соответствующего серверу печати. Принципал создается с автоматически сгенерированным случайным ключом:
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-admin service-add ipp/server.my_domain Ввести созданного принципала в группу сервисов mac, используя следующую команду:
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-admin sgroup-svc-add ipp/server.my_domain --sgroup=mac
Создать файл ключа Kerberos для сервера печати с помощью утилиты администрирования ALD ald-client, используя следующую команду:
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-client update-svc-keytab ipp/server.my_domain
От имени учетной записи администратора с использованием механизма sudo выполнить следующие команды:
Command sudo cupsctl --remote-admin --share-printers --remote-anyborderColor #c2e6ff bgColor #e2f3ff sudo cupsctl ServerAlias=*
sudo cupsctl DefaultPolicy=default
sudo cupsctl MarkerUser=ipp
sudo cupsctl ServerName=server.my_domain
sudo cupsctl MacEnable=On
sudo cupsctl DefaultAuthType=NegotiateПерезапустить сервер печати CUPS, выполнив команду:
панель borderColor #c2e6ff bgColor #e2f3ff sudo systemctl restart cups
Выполнить вход на сервере печати от имени учетной записи, входящей в группу ALD print_admins, и настроить принтеры (установить политику parsec и назначить максимальные допустимые уровни заданий). Настройка принтеров может быть выполнена с использованием утилиты fly-admin-printer (см. электронную справку).
На клиентских машинах должен быть создан файл /etc/cups/client.conf, в котором должен быть задан единственный параметр ServerName, определяющий имя сервера печати, например:Блок кода icon false ServerName computer.domain
Тестирование аутентификации Kerberos
В сессии администратора, не имеющего права управления службой cupsd:
Удалить все билеты Kerberos, полученные от имени sudo:
Command sudo kdestroy -A Попробовать выполнить команду изменения конфигурации (в команде можно использовать уже имеющиеся значения параметров, чтобы не вносить реальные изменения в настроенную конфигурацию), например:
Command sudo cupsctl DefaultPolicy=default итогом выполнения команды должен быть отказ в доступе:
Блок кода cupsctl: В доступе отказано
или (в зависимости от используемой ОС):
Блок кода cupsctl: Запрещено
Получить билет Kerberos доменного администратора печати, например:
Command sudo kinit ipa_print_admin - Повторно выполнить команду изменения конфигурации, при наличии билета Kerberos доменного администратора печати команда должна быть выполнена без ошибок.
Ограничение видимости заданий (Astra Linux Special Edition 1.6.9 и Astra Linux Common Edition 2.12.43)
Начиная с:- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9);
- Astra Linux Common Edition 2.12.43.
в систему управления печатью добавлены следующие возможности:
- Возможность ограничения пользователем видимости заданий других пользователей: опция "Только текущего пользователя" в меню списка заданий. Опция включает отображений заданий только текущего пользователя. Все другие задания будут скрыты;
Возможность принудительного ограничения администратором видимости пользователями заданий других пользователей. Для включения этой возможности добавить в файл /etc/cups/cupsd.conf строку:
Блок кода MyJobsAccessOnly On
и осуществить перезапуск сервиса печати CUPS. В результате включения этой опции пользователям будут разрешено видеть только свои задания.
Предупреждение Исключение - администраторы печати (пользователи, состоящие в группе lpadmin). Они видят все задания независимо от состояния данной опции.
...