Etiquetas, impresoras e impresión

El software de Trusted Extensions usa etiquetas para controlar el acceso a las impresoras. Las etiquetas se usan para controlar el acceso a las impresoras y a la información sobre los trabajos de impresión en cola. El software también etiqueta el resultado de la impresión. Las páginas del cuerpo y las páginas de la carátula y el ubicador obligatorios tienen etiquetas. Además, las páginas de la carátula y el ubicador pueden incluir instrucciones de tratamiento.

El administrador del sistema se encarga de la administración básica de las impresoras. El rol de administrador de la seguridad se ocupa de la seguridad de las impresoras, que incluye las etiquetas y el tratamiento del resultado de impresión con etiquetas. Los administradores siguen los procedimientos básicos de administración de impresoras de Oracle Solaris y, luego, asignan etiquetas a los servidores de impresión y a las impresoras.

El software de Trusted Extensions admite la impresión de un solo nivel y también de varios niveles. La impresión de varios niveles se implementa únicamente en la zona global. Para utilizar el servidor de impresión de la zona global, las zonas con etiquetas deben tener un nombre de host distinto del de la zona global. Una manera de obtener un nombre de host distinto es asignar una dirección IP a la zona con etiquetas. La dirección sería distinta de la dirección IP de la zona global.

Restricción del acceso a las impresoras y a la información de trabajos de impresión en Trusted Extensions

Los usuarios y los roles de los sistemas en los que está configurado el software de Trusted Extensions crean trabajos de impresión en la etiqueta de su sesión. Los trabajos de impresión se pueden imprimir solamente en impresoras que reconozcan esa etiqueta. La etiqueta debe estar dentro del rango de etiquetas de la impresora.

Los usuarios y los roles pueden ver los trabajos de impresión que tengan la misma etiqueta que la sesión. En la zona global, un rol puede ver los trabajos cuyas etiquetas estén controladas por la etiqueta de la zona.

Las impresoras que se configuran con el software de Trusted Extensions imprimen etiquetas en el resultado de la impresión. Las impresoras administradas con servidores de impresión sin etiquetas no imprimen etiquetas en el resultado de la impresión. Estas impresoras tienen la misma etiqueta que su servidor sin etiquetas. Por ejemplo, se puede asignar una etiqueta arbitraria a un servidor de impresión de Oracle Solaris en la base de datos tnrhdb del servicio de nombres LDAP. Así, los usuarios pueden imprimir los trabajos en esa etiqueta arbitraria con la impresora de Oracle Solaris. Como sucede con las impresoras de Trusted Extensions esas impresoras de Oracle Solaris solamente pueden aceptar trabajos de impresión de los usuarios que trabajan en la etiqueta asignada al servidor de impresión.

Resultado de impresión con etiquetas

Trusted Extensions imprime la información de seguridad en las páginas del cuerpo y en las páginas de la carátula y del ubicador. La información proviene de los archivos label_encodings y tsol_separator.ps.

El administrador de la seguridad puede hacer lo siguiente para modificar los valores predeterminados que establecen las etiquetas y agregan instrucciones de tratamiento al resultado de la impresión:

Localizar o personalizar el texto de las páginas de la carátula y del ubicador
Especificar etiquetas alternativas que se vayan a imprimir en las páginas del cuerpo o en los diversos campos de las páginas de la carátula y del ubicador
Cambiar u omitir cualquiera de los textos o las etiquetas

El administrador de la seguridad también puede configurar las cuentas de usuario para que se usen impresoras que no imprimen etiquetas en el resultado. Asimismo, se puede autorizar a los usuarios para que no impriman, de manera selectiva, carátulas o etiquetas en el resultado de la impresión.

Páginas del cuerpo con etiquetas

De manera predeterminada, la clasificación “Protect As” se imprime en la parte superior y en la parte inferior de cada página del cuerpo. La clasificación “Protect As” es la dominante cuando se compara la clasificación de la etiqueta de la tarea con la clasificación minimum protect as classification. La clasificación minimum protect as classification se define en el archivo label_encodings.

Por ejemplo, si el usuario se encuentra conectado en una sesión Internal Use Only, los trabajos de impresión del usuario están en esa etiqueta. Si la clasificación minimum protect as classification del archivo label_encodings es Public, la etiqueta Internal Use Only se imprime en las páginas del cuerpo.

Figura 15-1 Etiqueta del trabajo impresa en la parte superior y en la parte inferior de una página del cuerpo

image:La ilustración muestra un ejemplo de página de carátula con la etiqueta impresa en la parte superior y en la parte inferior.

Páginas de la carátula y del ubicador con etiquetas

Las siguientes figuras muestran la página de la carátula predeterminada y las variaciones de la página del ubicador predeterminada. Las llamadas identifican las distintas secciones. Tenga en cuenta que la página del ubicador utiliza una línea exterior diferente.

El texto, las etiquetas y las advertencias que aparecen en los trabajos de impresión se pueden configurar. También, el texto se puede reemplazar con texto en otro idioma para su localización.

Figura 15-2 Página de la carátula típica de un trabajo de impresión con etiquetas

image:La ilustración muestra una página de carátula con número de trabajo, clasificaciones e instrucciones de tratamiento.

Figura 15-3 Variaciones en la página del ubicador

image:La ilustración muestra que la página del ubicador dice JOB END, mientras que la página de la carátula dice JOB START en la parte superior de la página.

La siguiente tabla muestra aspectos de la impresión de confianza que el administrador de la seguridad puede cambiar mediante la modificación del archivo /usr/lib/lp/postscript/tsol_separator.ps.

Nota - Para localizar o internacionalizar el resultado de la impresión, vea los comentarios del archivo tsol_separator.ps.

Tabla 15-1 Valores configurables en el archivo tsol_separator.ps

Salida	Valor predeterminado	Definición	Para efectuar cambios
`PRINTER BANNERS`	`/Caveats Job_Caveats`	`/Caveats Job_Caveats`	Consulte Specifying Printer Banners de Oracle Solaris Trusted Extensions Label Administration.
`CHANNELS`	`/Channels Job_Channels`	`/Channels Job_Channels`	Consulte Specifying Channels de Oracle Solaris Trusted Extensions Label Administration.
Etiqueta en la parte superior de las páginas de la carátula y del ubicador	`/HeadLabel Job_Protect def`	Vea la descripción de `/PageLabel`.	Igual que para cambiar `/PageLabel`. También, consulte Specifying the Protect As Classification de Oracle Solaris Trusted Extensions Label Administration.
Etiqueta en la parte superior de las páginas del cuerpo	`/PageLabel Job_Protect def`	Compara la etiqueta del trabajo con la clasificación `minimum protect as classification` en el archivo `label_encodings`. Imprime la clasificación más dominante. Contiene compartimientos si la etiqueta del trabajo de impresión tiene compartimientos.	Cambie la definición de `/PageLabel` a fin de especificar otro valor. O bien, escriba una cadena que elija. O bien, no imprima nada.
Texto y etiqueta de la instrucción de clasificación “Protect as”	`/Protect Job_Protect def` `/Protect_Text1 () def` `/Protect_Text2 () def`	Vea la descripción de `/PageLabel`. Texto que aparecerá encima de la etiqueta. Texto que aparecerá debajo de la etiqueta.	Igual que para cambiar `/PageLabel`. Reemplace `()` en `Protect_Text1` y `Protect_Text2` con cadenas de texto.

Impresión PostScript de la información de seguridad

La impresión con etiquetas en Trusted Extensions se basa en funciones de impresión de Solaris. En el SO Oracle Solaris, las secuencias de comandos del modelo de la impresora gestionan la creación de la página de la carátula. A fin de implementar las etiquetas, la secuencia de comandos del modelo de la impresora primero convierte el trabajo de impresión en un archivo PostScript. A continuación, el archivo PostScript se manipula para que se inserten etiquetas en las páginas del cuerpo y se creen las páginas de la carátula y del ubicador.

Las secuencias de comandos del modelo de la impresora de Solaris también pueden convertir PostScript al lenguaje original de la impresora. Si la impresora acepta entrada PostScript, el software de Oracle Solaris envía el trabajo a la impresora. Si la impresora no acepta entrada PostScript, el software convierte al formato PostScript en una imagen raster. Luego, la imagen raster se convierte al formato de impresora correspondiente.

Dado que el software de PostScript se utiliza para imprimir información de las etiquetas, los usuarios no pueden imprimir archivos PostScript de manera predeterminada. Esta restricción impide que los programadores expertos en PostScript creen un archivo PostScript que modifique las etiquetas en el resultado de la impresión.

El rol de administrador de la seguridad puede invalidar esta restricción mediante la asignación de la autorización Print Postscript a cuentas de roles y usuarios de confianza. La autorización se asigna únicamente si se puede confiar en que la cuenta no suplantará las etiquetas en el resultado de la impresión. Además, si a un usuario se le permite imprimir archivos PostScript, debe respetarse la política de seguridad del sitio.

Secuencias de comandos del modelo de la impresora

La secuencia de comandos del modelo de la impresora habilita un modelo de impresora específico para proporcionar las páginas de la carátula y del ubicador. Trusted Extensions proporciona cuatro secuencias de comandos:

tsol_standard: para impresoras PostScript conectadas de manera directa; por ejemplo, impresoras conectadas mediante un puerto paralelo
tsol_netstandard: para impresoras PostScript a las que se puede acceder por medio de una red
tsol_standard_foomatic: para impresoras conectadas de manera directa, pero que no imprimen en formato PostScript
tsol_netstandard_foomatic: para impresoras a las que se puede acceder por medio de una red, pero que no imprimen en formato PostScript

Las secuencias de comando foomatic se utilizan cuando el nombre del controlador de la impresora comienza con Foomatic. Los controladores Foomatic son controladores de impresora PostScript (PPD, PostScript Printer Drivers).

Nota - Cuando agrega una impresora en una zona con etiquetas, “Use PPD” se especifica de manera predeterminada en el gestor de impresión. A continuación se utiliza un PPD para convertir las páginas de la carátula y del ubicador al lenguaje de la impresora.

Filtros de conversión adicionales

Los filtros de conversión convierten los archivos de texto al formato PostScript. Los programas del filtro son programas de confianza que ejecuta el daemon de impresión. Se puede confiar en que las etiquetas y el texto de las páginas de la carátula y del ubicador de los archivos que se convierten a formato PostScript mediante cualquier programa de filtros instalado son auténticos.

El software de Oracle Solaris proporciona la mayoría de los filtros de conversión que el sitio necesita. Igualmente, el rol de administrador del sistema del sitio puede instalar filtros adicionales. Por lo tanto se puede confiar en que las etiquetas y las páginas de la carátula y del ubicador de estos filtros son auténticas. Para obtener información sobre cómo agregar filtros de conversión, consulte el Capítulo 7, Customizing LP Printing Services and Printers (Tasks) de System Administration Guide: Printing.

Interoperabilidad de Trusted Extensions con la impresión de Trusted Solaris 8

Los sistemas Trusted Solaris 8 y Trusted Extensions que tienen archivos label_encodings compatibles y que se identifican entre sí mediante una plantilla CIPSO pueden usarse recíprocamente para la impresión remota. La siguiente tabla describe cómo configurar los sistemas para habilitar la impresión. De manera predeterminada, los usuarios no pueden enumerar o cancelar trabajos de impresión en un servidor de impresión remoto del otro sistema operativo. Si desea, puede autorizar a los usuarios para que puedan hacerlo.

Sistema de origen	Sistema de servidor de impresión	Acción	Resultados
Trusted Extensions	Trusted Solaris 8	Configure la impresión: en `tnrhdb` de Trusted Extensions, asigne una plantilla con el rango de etiquetas adecuado al servidor de impresión de Trusted Solaris 8. Puede ser con una etiqueta CIPSO o sin etiquetas.	La impresora de Trusted Solaris 8 puede imprimir trabajos desde un sistema Trusted Extensions dentro del rango de etiquetas de la impresora.
Trusted Extensions	Trusted Solaris 8	Autorice a los usuarios: en el sistema Trusted Extensions, cree un perfil que agregue las autorizaciones necesarias. Asigne el perfil a los usuarios.	Los usuarios de Trusted Extensions pueden enumerar o cancelar los trabajos de impresión que envíen a una impresora de Trusted Solaris 8. Los usuarios no pueden ver ni eliminar trabajos en una etiqueta diferente.
Trusted Solaris 8	Trusted Extensions	Configure la impresión: en `tnrhdb` de Trusted Solaris 8, asigne una plantilla con el rango de etiquetas adecuado al servidor de impresión de Trusted Extensions. Puede ser con una etiqueta CIPSO o sin etiquetas.	La impresora de Trusted Extensions puede imprimir trabajos desde un sistema Trusted Solaris 8 dentro del rango de etiquetas de la impresora.
Trusted Solaris 8	Trusted Extensions	Autorice a los usuarios: en el sistema Trusted Solaris 8, cree un perfil que agregue las autorizaciones necesarias. Asigne el perfil a los usuarios.	Los usuarios de Trusted Solaris 8 pueden enumerar o cancelar los trabajos de impresión que envíen a una impresora de Trusted Extensions. Los usuarios no pueden ver ni eliminar trabajos en una etiqueta diferente.

Interfaces de impresión de Trusted Extensions (referencia)

Los siguientes comandos de usuario se amplían a fin de cumplir con la política de seguridad de Trusted Extensions:

cancel: el emisor debe ser igual a la etiqueta del trabajo de impresión para cancelar un trabajo. De manera predeterminada, los usuarios comunes pueden cancelar solamente sus propios trabajos.
lp: Trusted Extensions agrega la opción -o nolabels. Los usuarios deben estar autorizados para imprimir sin etiquetas. Asimismo, los usuarios deben estar autorizados para usar la opción -o nobanner.
lpstat: el emisor debe ser igual a la etiqueta del trabajo de impresión para obtener el estado de un trabajo. De manera predeterminada, los usuarios comunes pueden ver solamente sus propios trabajos de impresión.

Los siguientes comandos administrativos se amplían a fin de cumplir con la política de seguridad de Trusted Extensions. Como en el SO Oracle Solaris, solamente los roles que incluyen el perfil de derechos de gestión de impresoras pueden ejecutar estos comandos.

lpmove: el emisor debe ser igual a la etiqueta del trabajo de impresión para mover un trabajo. De manera predeterminada, los usuarios comunes pueden mover solamente sus propios trabajos de impresión.
lpadmin: en la zona global, este comando funciona con todos los trabajos. En las zonas con etiquetas, el emisor debe dominar la etiqueta del trabajo de impresión para que pueda verse un trabajo y debe ser igual para que pueda cambiarse.

Trusted Extensions agrega secuencias de comandos del modelo de la impresora a la opción -m. Trusted Extensions agrega la opción -o nolabels.
lpsched: en la zona global, este comando siempre funciona correctamente. Como en el SO Oracle Solaris, utilice el comando svcadm para habilitar, deshabilitar, iniciar o reiniciar el servicio de impresión. En una zona con etiquetas, el emisor debe ser igual a la etiqueta del servicio de impresión para que se cambie el servicio de impresión. Para obtener detalles sobre la utilidad de gestión de servicios, consulte las páginas del comando man smf(5), svcadm(1M) y svcs(1).

Trusted Extensions agrega la autorización solaris.label.print al perfil de derechos de gestión de impresoras. Se requiere la autorización solaris.print.unlabeled para imprimir las páginas del cuerpo sin etiquetas.

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Procedimientos de administradores de Oracle Solaris Trusted Extensions