Включение удаленного использования сервера печати

Для включения удаленного использования сервера печати:

1. От имени администратора (в Astra Linux Special Edition с включенным МКЦ - администратора с высоким уровнем целостности) через механизм sudo выполнить команду:

   Command
   borderColor #c2e6ff bgColor #e2f3ff
   sudo cupsctl --remote-admin --share-printers --remote-any ServerAlias=*

   
   

2. В конфигурационном файле /etc/cups/cupsd.conf удалить строку:

   Блок кода
   icon false
   Port 631

   и строку Listen привести к виду:

   Блок кода
   icon false
   Listen 0.0.0.0:631

   
   

3. При первичных настройка значение параметра DefaultAuthType должно быть Basic;
   
   

4. Проверить корректность конфигурационных файлов:

   Command
   sudo cupsd -t

   
   

5. Перезапустить сервер печати CUPS командой:

   Command
   sudo systemctl restart cups

   
   

6. Проверить состояние сервиса печати CUPS командой:

   Command
   sudo systemctl status cups

Добавление принтера через web-интерфейс CUPS

Предоставление пользователям прав на выполнение административных действий

Пользователи

, от имени

которых будут выполняться действия по настройке принтеров

не связанные с мандатным управлением доступом, должны быть включены в группу lpadmin (локальная группа, используемая "по умолчанию") или в другую группу, указанную в списке значений параметра  SystemGroup в конфигурационном файле /etc/cups/cups-files.conf).

Кроме того, разрешения на выполнение операций для отдельных пользователей и групп могут быть явно заданы в описаниях ресурсов в конфигурационном файле /etc/cups/cupsd.conf (пример использования доменной группы приведен делее в разделе про настройку аутентификации Kerberos, подробное описание форматов конфигурационных файлов см. man cupsd.conf.

Предоставление пользователям прав на выполнение административных действий с классификационными метками

Пользователи, работающие с маркировкой заданий печати в Astra Linux Special Edition, должны быть включены в локальную группу lpmac (создается при установке ОС) или группу lpmac_ald (предназначена для использования в доменах и  должна быть создана вручную). Имена этих групп задаются в параметре MacAdmin в конфигурационном файле /etc/cups/cupsd.conf (параметр используется отдельно для каждого определяемого ресурса).

Добавление принтера через web-интерфейс CUPS

Для добавления принтера открыть web-браузер и ввести адрес:

Нажать кнопку "Добавить принтер", на запрос аутентификации ввести имя и пароль пользователя, входящего в группу lpadmin.

Далее будет представлен список устройств для выбора. Фактическое имя принтера отображается рядом с меткой ( например, USB-принтеры напротив USB Printer #1). Принтеру можно присваивать любое имя, аналогично для пунктов 'Расположение' и 'Описание'. После выбора соответствующего драйвера настройки будут окончены.

Убедитесь в правильности настроек, нажав на кнопку Print Test Page (Печать тестовой страницы) в выпадающем меню Maintenance (Обслуживание). Если принтер не печатает, но вы уверены в правильности всех настроек, попытайтесь сменить драйвер принтера на другой.

Печать файла из командной строки

Печать файла из командной строки можно выполнить командой:

Добавление сетевого принтера из командной строки

Добавление сетевого принтера из командной строки можно выполнить командой:

Ограничение отображения сетевых принтеров в LibreOffice

По умолчанию при выборе устройства печати в LibreOffice (Файл - Печать - Принтер) в списке устройств отображаются все обнаруженные сетевые принтеры. Для того, чтобы в списке доступных устройств отображались только принтеры, добавленные через менеджер печати Fly, нужно добавить в файл /etc/cups/client.conf строчку:

DiscoveredOnly Yes

после чего перезапустить службу cups:

Копирование настроек принтеров

Для централизованного управления можно копировать файлы /etc/cups/printers.conf и /etc/cups/ppd/* с компьютера с настроенным принтером на удаленный компьютер при помощи команды scp:

Настройка печати на

клиентской машине

1. На сервере печати настроить Настроить удаленное использование сервера печати;
   
   
2. Выполнить вход на На сервере печати от имени учетной записи, входящей в группу lpadmin, и настроить принтеры (в том числе, при работае с конфиденциальной информацией в Astra Linux Special Edition установить политику parsec и назначить максимальные допустимые уровни классификационные метки заданий). Настройка принтеров может быть выполнена с использованием утилиты fly-admin-printer (см. электронную справку) или с помощью web-интерфейса CUPS;
   
   

3. На клиентских машинах создать файл /etc/cups/client.conf, в котором должен быть задан единственный параметр ServerName, определяющий имя сервера печати, например:

   Блок кода
   icon false
   ServerName <имя_сервера_печати>

   
   

В Astra Linux Special Edition для печати документов с ненулевой классификационной меткой через графическую утилиту "Менеджер печати Fly" (fly-admin-printer) для принтера указать политику parsec и допустимые уровни конфиденциальности.

Настройка аутентификации

Kerberos

Для Перед настройкой аутентификации Kerberos для корректной работы команды cupsctl команд управления на сервере должна быть выполнена настройка клиента, т.е должен быть создан файл /etc/cups/client.conf, в котором должен быть задан единственный параметр ServerName, определяющий имя сервера печати:

ServerName <имя_сервера_печати>

Настройка аутентификации

Kerberos в домене FreeIPA

Описание стенда FreeIPA

• dc.domain.ipa – контроллер домена FreeIPA;
• printserver.domain.ipa (сервер cups может находиться и на контроллере домена FreeIPA, в таком случае далее printserver заменить на dc);
• client.domain.ipa – клиент FreeIPA

Настройки

домена FreeIPA

Данные настройки могут выполняться через графический интерфейс FreeIPA или через интерфейс командной строки (CLI) FreeIPA. Далее приведены примеры с использованием CLI FreeIPA.

1. Получить билет Kerberos администратора домена (только при работе с CLI FreeIPA. Для примера используется имя администратора admin):

   Command
   kinit admin

   
   

2. Создать доменную группу доменные группы:

   1. Доменную группу для общих задач администрирования с именем, например, print_admins:

      Command
      Title ipa group-add print_admins
      ------------------------------- Добавлена группа "print_admins" -------------------------------   Имя группы: print_admins   ID группы: 848400014

      
      

   2. По необходимости - доменную группу для маркировки заданий:

      Command
      ipa group-add lpmac_ald

      
      

3. Добавить доменных пользователей, которые будут выполнять функции администратора печати, в доменную группу print-admins. Например:

   1. Создать пользователя print_admin:

      Command
      ipa user-add print_admin --first <имя> --last <фамилия>

      
      

   2. Добавить доменного пользователя ipa_ print_admin в доменную группу print_admins:

      Command
      ipa group-add-member --users=print_admin print_admins

      
      

   3. Добавить При необходимости выполнения маркировки заданий печати добавить доменного пользователя (для примера - print_admin) в локальную доменную группу lpmac_ald командой:

      Command
      sudo gpasswd -a print_admin lpmac_ald

      
      

4. На контроллере домена зарегистрировать доменные службы доменную службу печати ipp :

   Службу печати ipp

   (используется при работе с интерфейсом командной стройки cups и графическим инструментом fly-admin-cups):

   Command
   ipa service-add ipp

   /printserver.domain.ipa

   Службу печати HTTP (используется при работе через web-интерфейс):

   Commandipa service-add HTTP

   /printserver.domain.ipa

   
   

Настройки на сервере печати

1. Войти в сессию пользователя - администратора системы  (на Astra Linux Special Edition с включенным МКЦ - администратора с высоким уровнем целостности) на сервере печати;
   
   

2. Получить билет Kerberos администратора домена для суперпользователя:

   Command
   sudo kinit admin

   
   

3. Получить таблицы ключей для зарегистрированных доменных служб ipp и HTTP и сохранить их в файле /etc/krb5.keytab:

   1. Для службы ipp:

      Command
      sudo ipa-getkeytab -p ipp/printserver.domain.ipa@DOMAIN.IPA -k /etc/krb5.keytab

   sudo ipa-getkeytab -p HTTP/printserver.domain.ipa@DOMAIN.IPA -k /etc/krb5.keytab

   1. 
      

   2. При необходимости использовать аутентификацию в web-браузерах см. Настройка использования аутентификации Kerberos в web-браузерах.
      
      

4. Убедиться, что ключи добавлены:

   Command
   sudo klist -kte /etc/krb5.keytab

   
   

Настройка

В файле /etc/cups/cups-files.conf заменить строку:

SystemGroup lpadmin

на строку:

SystemGroup lpadmin print_admins

Предполагается, что удаленный доступ к службе печати уже настроен как указано выше. Выполнить команды (если управление разрешено текущему пользователю):

или действуя от имени администратора прямо отредактировать конфигурационный файл /etc/cups/cupsd.conf, указав (добавив) нужные значения (знак "=" в конфигурационном файле не используется, значения параметров указываются через пробел):

аутентификации Kerberos в домене ALD

Настройка аутентификации Kerberos в домене ALD в целом аналогична настройке в домене FreeIPA, отличаются команды для выполнения необходимых действий.

DefaultAuthType Negotiate
DefaultPolicy authenticated
ServerName printserver.domain.ipa

Проверить корректность конфигурационного файла:

Перезапустить службу печати CUPS сервер командой:

Настройка аутентификации через Kerberos в домене ALD

Для выполнения действий по управлению принтерами и очередями печати необходимо:

1. Создать в ALD учетную запись группы администраторов печати:

   Command
   borderColor #c2e6ff bgColor #e2f3ff icon false
   sudo ald-admin group-add print_admins

   
   

2. Для выполнения действий по маркировке заданий создать в ALD группу :lpmac_ald

   (только для версии Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и при использовании в домене ALD)

   :

   Command
   borderColor #c2e6ff bgColor #e2f3ff
   sudo ald-admin group-add lpmac_ald

   lpmac (для всех остальных версий ОС Astra Linux Special Edition):

   Command
   borderColor #c2e6ff bgColor #e2f3ff
   sudo ald-admin group-add lpmac

   
   

3. В файле /etc/cups/cups-files.conf в значении параметра SystemGroup добавить (установить) значение print_admins;
   
   

4. Создать в ALD учетную запись администратора печати и добавить ее в группу администраторов печати ALD, например выполнив команды:

   Command
   borderColor #c2e6ff bgColor #e2f3ff
   sudo ald-admin user-add print_admin sudo ald-admin group-mod print_admins --add-users --user=print_admin

5. Добавить администратора печати в группу

lpmac_ald (только для версии ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и при использовании в домене ALD):


Command

borderColor	#c2e6ff
bgColor	#e2f3ff

6. sudo ald-admin group-mod lpmac_

ald --add-users --user=print_admin

lpmac (для всех остальных версий ОС Astra Linux Special Edition)

Command

borderColor	#c2e6ff
bgColor	#e2f3ff

sudo

7. ald -

admin group

8. -

mod lpmac --

9. add-users --user=print_admin

   
   

10. • 
      

      
      

    • 
      

      
      

      
      

11. Для обеспечения совместной работы сервера печати с ALD создать в БД ALD с помощью утилиты администрирования ALD принципала, соответствующего серверу печати. Принципал создается с автоматически сгенерированным случайным ключом:

    Command
    borderColor #c2e6ff bgColor #e2f3ff
    sudo ald-admin service-add ipp/server.my_domain

    
    

12. Ввести созданного принципала в группу сервисов mac, используя следующую команду:

    Command
    borderColor #c2e6ff bgColor #e2f3ff
    sudo ald-admin sgroup-svc-add ipp/server.my_domain --sgroup=mac

    
    

13. Создать файл ключа Kerberos для сервера печати с помощью утилиты администрирования ALD ald-client, используя следующую команду:

    Command
    borderColor #c2e6ff bgColor #e2f3ff
    sudo ald-client update-svc-keytab ipp/server.my_domain

    
    

14. От имени учетной записи администратора с использованием механизма sudo выполнить следующие команды:

    Command
    borderColor #c2e6ff bgColor #e2f3ff
    sudo cupsctl DefaultPolicy=default ServerName=server.my_domain MacEnable=On DefaultAuthType=Negotiate

    
    

15. Перезапустить сервер печати CUPS, выполнив команду:

    панель
    borderColor #c2e6ff bgColor #e2f3ff
    sudo systemctl restart cups

    
    

Настройка службы печати CUPS

Настройка службы печати CUPS выполняется одинаково для доменов FreeIPA и ALD.

1. В файле /etc/cups/cups-files.conf на сервере печати заменить строку:

   Блок кода
   SystemGroup lpadmin

   на строку:

   Блок кода
   SystemGroup lpadmin print_admins

   
   

   Информация
   В значениях параметра перечисляются группы пользователей, которым разрешено администрирование. Например, можно не сохранять локальную группу lpadmin, или временно добавить группу admins чтобы предоставить право управления локальным администраторам на время настройки системы, и удалить группу admins после завершения настройки.

   
   

2. Предполагается, что удаленный доступ к службе печати уже настроен как указано в разделе "Включение удаленного использования сервера печати". Выполнить команды (если управление разрешено текущему пользователю):

   Command
   sudo cupsctl DefaultPolicy=authenticated ServerName=printserver.domain.ipa cupsctl MacEnable=On DefaultAuthType=Negotiate

   или действуя от имени администратора прямо отредактировать конфигурационный

   Выполнить вход на сервере печати от имени учетной записи, входящей в группу ALD print_admins, и настроить принтеры (установить политику parsec и назначить максимальные допустимые уровни заданий). Настройка принтеров может быть выполнена с использованием утилиты fly-admin-printer (см. электронную справку).
   На клиентских машинах должен быть создан

   файл /etc/cups/

   client

   cupsd.conf,

   в котором должен быть задан единственный параметр ServerName, определяющий имя сервера печати, например:

   Блок кода
   icon false
   ServerName computer.domain

   указав (добавив) нужные значения (знак "=" в конфигурационном файле не используется, значения параметров указываются через пробел):

   Блок кода
   DefaultAuthType Negotiate DefaultPolicy authenticated ServerName printserver.domain.ipa

   
   

3. Проверить корректность конфигурационного файла:

   Command
   sudo cupsd -t

   
   

4. Перезапустить службу печати CUPS сервер командой:

   Command
   sudo systemctl restart cups

   
   

Тестирование функционирования

аутентификации Kerberos

В сессии администратора, не имеющего права управления службой cupsd:

1. Удалить все билеты Kerberos, полученные от имени sudo:

   Command
   sudo kdestroy -A

   
   

2. Попробовать выполнить команду изменения конфигурации (в команде можно использовать уже имеющиеся значения параметров, чтобы не вносить реальные изменения в настроенную конфигурацию), например:

   Command
   sudo cupsctl DefaultPolicy=default

   итогом выполнения команды должен быть отказ в доступе:

   Блок кода
   cupsctl: В доступе отказано

   или (в зависимости от используемой ОС):

   Блок кода
   cupsctl: Запрещено

   
   

3. Получить билет Kerberos доменного администратора печати, например:

   Command
   sudo kinit ipa_print_admin

   
   

4. Повторно выполнить команду изменения конфигурации, при наличии билета Kerberos доменного администратора печати команда должна быть выполнена без ошибок.

Ограничение видимости заданий (Astra Linux Special Edition 1.6.9 и Astra Linux Common Edition 2.12.43)

Начиная с:

• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9);
• Astra Linux Common Edition 2.12.43.

в систему управления печатью добавлены следующие возможности:

• Возможность ограничения пользователем видимости заданий других пользователей: опция "Только текущего пользователя" в меню списка заданий. Опция включает отображений заданий только текущего пользователя. Все другие задания будут скрыты;
  
  

• Возможность принудительного ограничения администратором видимости пользователями заданий других пользователей. Для включения этой возможности добавить в файл /etc/cups/cupsd.conf строку:
  

  Блок кода
  MyJobsAccessOnly On

  и осуществить перезапуск сервиса печати CUPS. В результате включения этой опции пользователям будут разрешено видеть только свои задания.

  Предупреждение
  Исключение - администраторы печати (пользователи, состоящие в группе lpadmin). Они видят все задания независимо от состояния данной опции.