Отображение дочерних |
---|
Оглавление |
---|
Информация | ||
---|---|---|
| ||
Раздел "Ограничение отображения сетевых принтеров в LibreOffice" применим к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) и более поздним обновлениям. Раздел "Ограничение видимости заданий (Astra Linux Special Edition 1.6.9 и Astra Linux Common Edition 2.12.43)" применим только к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9) и к более поздним обновлениям, а также к Astra Linux Common Edition 2.12.43. Раздел "Настройка аутентификации через Kerberos" применим только к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) с установленным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7) (версия cups 2.3.3op2-4astra.se9 b dsit). |
Включение удаленного использования сервера печати
Для включения удаленного использования сервера печати:
От имени администратора (в Astra Linux Special Edition с включенным МКЦ - администратора с высоким уровнем целостности) через механизм sudo выполнить команду:
Command borderColor #c2e6ff bgColor #e2f3ff sudo cupsctl --remote-admin --share-printers --remote-any ServerAlias=*
В конфигурационном файле /etc/cups/cupsd.conf удалить строку:
Блок кода icon false Port 631
и строку Listen привести к виду:
Блок кода icon false Listen 0.0.0.0:631
При первичных настройка значение параметра DefaultAuthType должно быть Basic;
Проверить корректность конфигурационных файлов:
Command sudo cupsd -t
Перезапустить сервер печати CUPS командой:
Command sudo systemctl restart cups
Проверить состояние сервиса печати CUPS командой:
Command sudo systemctl status cups
Добавление принтера через web-интерфейс CUPS
Предоставление пользователям прав на выполнение административных действий
Пользователи
, от имени
которогокоторых будут выполняться действия по настройке принтеров
, должен быть добавлен в группу lpadmin.не связанные с мандатным управлением доступом, должны быть включены в группу lpadmin (локальная группа, используемая "по умолчанию") или в другую группу, указанную в списке значений параметра SystemGroup в конфигурационном файле /etc/cups/cups-files.conf).
Кроме того, разрешения на выполнение операций для отдельных пользователей и групп могут быть явно заданы в описаниях ресурсов в конфигурационном файле /etc/cups/cupsd.conf (пример использования доменной группы приведен делее в разделе про настройку аутентификации Kerberos, подробное описание форматов конфигурационных файлов см. man cupsd.conf.
Предоставление пользователям прав на выполнение административных действий с классификационными метками
Пользователи, работающие с маркировкой заданий печати в Astra Linux Special Edition, должны быть включены в локальную группу lpmac (создается при установке ОС) или группу lpmac_ald (предназначена для использования в доменах и должна быть создана вручную). Имена этих групп задаются в параметре MacAdmin в конфигурационном файле /etc/cups/cupsd.conf (параметр используется отдельно для каждого определяемого ресурса).
Добавление принтера через web-интерфейс CUPS
Для добавления принтера открыть web-браузер и ввести адрес:
Подсказка | ||
---|---|---|
| ||
|
Нажать кнопку "Добавить принтер", на запрос аутентификации ввести имя и пароль пользователя, входящего в группу lpadmin.
Далее будет представлен список устройств для выбора. Фактическое имя принтера отображается рядом с меткой ( например, USB-принтеры напротив USB Printer #1). Принтеру можно присваивать любое имя, аналогично для пунктов 'Расположение' и 'Описание'. После выбора соответствующего драйвера настройки будут окончены.
Примечание |
---|
При установке USB-принтер должен отображаться в списке устройств на странице Добавить принтер. |
Убедитесь в правильности настроек, нажав на кнопку Print Test Page (Печать тестовой страницы) в выпадающем меню Maintenance (Обслуживание). Если принтер не печатает, но вы уверены в правильности всех настроек, попытайтесь сменить драйвер принтера на другой.
Печать файла из командной строки
Печать файла из командной строки можно выполнить командой:
Command |
---|
lp -d *имя_принтера* *имя_файла* |
Добавление сетевого принтера из командной строки
Добавление сетевого принтера из командной строки можно выполнить командой:
Command |
---|
lpadmin -p printername -E -v socket://11.22.33.44 -m drv:///sample.drv/laserjet.ppd |
Ограничение отображения сетевых принтеров в LibreOffice
Информация |
---|
Раздел "Ограничение отображения сетевых принтеров в LibreOffice" применим только к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20210611SE16 (очередное обновление 7) |
По умолчанию при выборе устройства печати в LibreOffice (Файл - Печать - Принтер) в списке устройств отображаются все обнаруженные сетевые принтеры. Для того, чтобы в списке доступных устройств отображались только принтеры, добавленные через менеджер печати Fly, нужно добавить в файл /etc/cups/client.conf строчку:
Блок кода |
---|
DiscoveredOnly Yes |
после чего перезапустить службу cups:
Command |
---|
sudo systemctl restart cups |
Копирование настроек принтеров
Для централизованного управления можно копировать файлы /etc/cups/printers.conf и /etc/cups/ppd/* с компьютера с настроенным принтером на удаленный компьютер при помощи команды scp:
Command |
---|
scp /etc/cups/printers.conf 10.10.10.10:/etc/cups/ |
Настройка печати на
локальной машинеПримечание |
---|
Пользователь, от которого будут выполняться действия по настройке принтеров, должен быть добавлен в группу lpadmin. Пользователь, от которого будут выполняться действия по маркировке заданий, должен быть добавлен в группу lpmac ( groupadd -g 900 lpmac если не создана).Это может быть один и тот же пользователь. |
клиентской машине
- На сервере печати настроить Настроить удаленное использование сервера печати;
- Выполнить вход на На сервере печати от имени учетной записи, входящей в группу lpadmin, и настроить принтеры (в том числе, при работае с конфиденциальной информацией в Astra Linux Special Edition установить политику parsec и назначить максимальные допустимые уровни классификационные метки заданий). Настройка принтеров может быть выполнена с использованием утилиты fly-admin-printer (см. электронную справку) или с помощью web-интерфейса CUPS;
На клиентских машинах создать файл /etc/cups/client.conf, в котором должен быть задан единственный параметр ServerName, определяющий имя сервера печати, например:
Блок кода icon false ServerName <имя_сервера_печати>
В Astra Linux Special Edition для печати документов с ненулевой классификационной меткой через графическую утилиту "Менеджер печати Fly" (fly-admin-printer) для принтера указать политику parsec и допустимые уровни конфиденциальности.
Настройка аутентификации
черезKerberos
Для Перед настройкой аутентификации Kerberos для корректной работы команды cupsctl команд управления на сервере должна быть выполнена настройка клиента, т.е должен быть создан файл /etc/cups/client.conf, в котором должен быть задан единственный параметр ServerName, определяющий имя сервера печати:
Блок кода | ||
---|---|---|
| ||
ServerName <имя_сервера_печати> |
Настройка аутентификации
черезKerberos в домене FreeIPA
Описание стенда FreeIPA
- dc.domain.ipa – контроллер домена FreeIPA;
- printserver.domain.ipa (сервер cups может находиться и на контроллере домена FreeIPA, в таком случае далее printserver заменить на dc);
- client.domain.ipa – клиент FreeIPA
Настройки
на контроллередомена FreeIPA
Данные настройки могут выполняться через графический интерфейс FreeIPA или через интерфейс командной строки (CLI) FreeIPA. Далее приведены примеры с использованием CLI FreeIPA.
Получить билет Kerberos администратора домена (только при работе с CLI FreeIPA. Для примера используется имя администратора admin):
Command kinit admin Создать доменную группу доменные группы:
Доменную группу для общих задач администрирования с именем, например, print_admins:
Command Title ipa group-add print_admins -------------------------------
Добавлена группа "print_admins"
-------------------------------
Имя группы: print_admins
ID группы: 848400014По необходимости - доменную группу для маркировки заданий:
Command ipa group-add lpmac_ald
Добавить доменных пользователей, которые будут выполнять функции администратора печати, в доменную группу print-admins. Например:
Создать пользователя print_admin:
Command ipa user-add print_admin --first <имя> --last <фамилия> Добавить доменного пользователя ipa_ print_admin в доменную группу print_admins:
Command ipa group-add-member --users=print_admin print_admins Добавить При необходимости выполнения маркировки заданий печати добавить доменного пользователя (для примера - print_admin) в локальную доменную группу lpmac_ald командой:
Command sudo gpasswd -a print_admin lpmac_ald
На контроллере домена зарегистрировать доменные службы доменную службу печати ipp :
Службу печати ipp(используется при работе с интерфейсом командной стройки cups и графическим инструментом fly-admin-cups):
/printserver.domain.ipaCommand ipa service-add ipp Службу печати HTTP (используется при работе через web-интерфейс):
ipa service-add HTTPCommand /printserver.domain.ipa
Настройки на сервере печати
- Войти в сессию пользователя - администратора системы (на Astra Linux Special Edition с включенным МКЦ - администратора с высоким уровнем целостности) на сервере печати;
Получить билет Kerberos администратора домена для суперпользователя:
Command sudo kinit admin Получить таблицы ключей для зарегистрированных доменных служб ipp и HTTP и сохранить их в файле /etc/krb5.keytab:
Для службы ipp:
Command sudo ipa-getkeytab -p ipp/printserver.domain.ipa@DOMAIN.IPA -k /etc/krb5.keytab
- При необходимости использовать аутентификацию в web-браузерах см. Настройка использования аутентификации Kerberos в web-браузерах.
Убедиться, что ключи добавлены:
Command sudo klist -kte /etc/krb5.keytab
Настройка
службы печати CUPSВ файле /etc/cups/cups-files.conf заменить строку:
Блок кода |
---|
SystemGroup lpadmin |
на строку:
Блок кода |
---|
SystemGroup lpadmin print_admins |
Информация |
---|
В значениях параметра перечисляются группы пользователей, которым разрешено управление принтером. Например, туда можно временно добавить группу admins чтобы предоставить право управления локальным администраторам на время настройки системы, и удалить эту группу после завершения настройки. |
Предполагается, что удаленный доступ к службе печати уже настроен как указано выше. Выполнить команды (если управление разрешено текущему пользователю):
Command |
---|
sudo cupsctl DefaultPolicy=authenticated ServerName=printserver.domain.ipa cupsctl MacEnable=On DefaultAuthType=Negotiate |
или действуя от имени администратора прямо отредактировать конфигурационный файл /etc/cups/cupsd.conf, указав (добавив) нужные значения (знак "=" в конфигурационном файле не используется, значения параметров указываются через пробел):
аутентификации Kerberos в домене ALD
Настройка аутентификации Kerberos в домене ALD в целом аналогична настройке в домене FreeIPA, отличаются команды для выполнения необходимых действий.
Блок кода |
---|
DefaultAuthType Negotiate
DefaultPolicy authenticated
ServerName printserver.domain.ipa |
Проверить корректность конфигурационного файла:
Command |
---|
sudo cupsd -t |
Перезапустить службу печати CUPS сервер командой:
Command |
---|
sudo systemctl restart cups |
Настройка аутентификации через Kerberos в домене ALD
Для выполнения действий по управлению принтерами и очередями печати необходимо:
Создать в ALD учетную запись группы администраторов печати:
Command borderColor #c2e6ff bgColor #e2f3ff icon false sudo
ald-admin group-add print_adminsДля выполнения действий по маркировке заданий создать в ALD группу :lpmac_ald
(только для версии Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и при использовании в домене ALD):
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-admin group-add lpmac_ald
lpmac (для всех остальных версий ОС Astra Linux Special Edition):
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-admin group-add lpmac
В файле /etc/cups/cups-files.conf в значении параметра SystemGroup добавить (установить) значение print_admins;
Создать в ALD учетную запись администратора печати и добавить ее в группу администраторов печати ALD, например выполнив команды:
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-admin user-add print_admin
sudo ald-admin group-mod print_admins --add-users --user=print_admin
- Добавить администратора печати в группу
sudo ald-admin group-mod lpmac_
ald --add-users --user=print_adminald -
admin group-
mod lpmac --add-users --user=print_admin
Для обеспечения совместной работы сервера печати с ALD создать в БД ALD с помощью утилиты администрирования ALD принципала, соответствующего серверу печати. Принципал создается с автоматически сгенерированным случайным ключом:
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-admin service-add ipp/server.my_domain Ввести созданного принципала в группу сервисов mac, используя следующую команду:
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-admin sgroup-svc-add ipp/server.my_domain --sgroup=mac
Создать файл ключа Kerberos для сервера печати с помощью утилиты администрирования ALD ald-client, используя следующую команду:
Command borderColor #c2e6ff bgColor #e2f3ff sudo ald-client update-svc-keytab ipp/server.my_domain
От имени учетной записи администратора с использованием механизма sudo выполнить следующие команды:
Command borderColor #c2e6ff bgColor #e2f3ff sudo cupsctl DefaultPolicy=default ServerName=server.my_domain MacEnable=On DefaultAuthType=Negotiate Перезапустить сервер печати CUPS, выполнив команду:
панель borderColor #c2e6ff bgColor #e2f3ff sudo systemctl restart cups
lpmac_ald (только для версии ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и при использовании в домене ALD):
borderColor | #c2e6ff |
---|---|
bgColor | #e2f3ff |
lpmac (для всех остальных версий ОС Astra Linux Special Edition)
borderColor | #c2e6ff |
---|---|
bgColor | #e2f3ff |
Настройка службы печати CUPS
Настройка службы печати CUPS выполняется одинаково для доменов FreeIPA и ALD.
В файле /etc/cups/cups-files.conf на сервере печати заменить строку:
Блок кода SystemGroup lpadmin
на строку:
Блок кода SystemGroup lpadmin print_admins
Информация В значениях параметра перечисляются группы пользователей, которым разрешено администрирование. Например, можно не сохранять локальную группу lpadmin, или временно добавить группу admins чтобы предоставить право управления локальным администраторам на время настройки системы, и удалить группу admins после завершения настройки.
Предполагается, что удаленный доступ к службе печати уже настроен как указано в разделе "Включение удаленного использования сервера печати". Выполнить команды (если управление разрешено текущему пользователю):
Command sudo cupsctl DefaultPolicy=authenticated ServerName=printserver.domain.ipa cupsctl MacEnable=On DefaultAuthType=Negotiate
или действуя от имени администратора прямо отредактировать конфигурационный
Выполнить вход на сервере печати от имени учетной записи, входящей в группу ALD print_admins, и настроить принтеры (установить политику parsec и назначить максимальные допустимые уровни заданий). Настройка принтеров может быть выполнена с использованием утилиты fly-admin-printer (см. электронную справку).
На клиентских машинах должен быть созданфайл /etc/cups/
clientcupsd.conf,
в котором должен быть задан единственный параметр ServerName, определяющий имя сервера печати, например:Блок кода icon false ServerName computer.domain
указав (добавив) нужные значения (знак "=" в конфигурационном файле не используется, значения параметров указываются через пробел):
Блок кода DefaultAuthType Negotiate DefaultPolicy authenticated ServerName printserver.domain.ipa
Проверить корректность конфигурационного файла:
Command sudo cupsd -t
Перезапустить службу печати CUPS сервер командой:
Command sudo systemctl restart cups
Тестирование функционирования
Тестированиеаутентификации Kerberos
В сессии администратора, не имеющего права управления службой cupsd:
Удалить все билеты Kerberos, полученные от имени sudo:
Command sudo kdestroy -A Попробовать выполнить команду изменения конфигурации (в команде можно использовать уже имеющиеся значения параметров, чтобы не вносить реальные изменения в настроенную конфигурацию), например:
Command sudo cupsctl DefaultPolicy=default итогом выполнения команды должен быть отказ в доступе:
Блок кода cupsctl: В доступе отказано
или (в зависимости от используемой ОС):
Блок кода cupsctl: Запрещено
Получить билет Kerberos доменного администратора печати, например:
Command sudo kinit ipa_print_admin - Повторно выполнить команду изменения конфигурации, при наличии билета Kerberos доменного администратора печати команда должна быть выполнена без ошибок.
Ограничение видимости заданий (Astra Linux Special Edition 1.6.9 и Astra Linux Common Edition 2.12.43)
Начиная с:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9);
- Astra Linux Common Edition 2.12.43.
в систему управления печатью добавлены следующие возможности:
- Возможность ограничения пользователем видимости заданий других пользователей: опция "Только текущего пользователя" в меню списка заданий. Опция включает отображений заданий только текущего пользователя. Все другие задания будут скрыты;
Возможность принудительного ограничения администратором видимости пользователями заданий других пользователей. Для включения этой возможности добавить в файл /etc/cups/cupsd.conf строку:
Блок кода MyJobsAccessOnly On
и осуществить перезапуск сервиса печати CUPS. В результате включения этой опции пользователям будут разрешено видеть только свои задания.
Предупреждение Исключение - администраторы печати (пользователи, состоящие в группе lpadmin). Они видят все задания независимо от состояния данной опции.
...