Étiquettes, imprimantes et impression

Trusted Extensions utilise des étiquettes pour contrôler l'accès aux imprimantes. Les étiquettes permettent de contrôler l'accès aux imprimantes et aux informations relatives aux travaux d'impression de la file d'attente. Le logiciel permet également d'étiqueter les sorties d'impression. Des étiquettes sont appliquées aux pages de corps de texte ainsi qu'aux pages de garde et de fin. Les pages de garde et de fin peuvent également inclure des instructions de traitement.

L'administrateur système assure la gestion courante de l'imprimante. Le rôle de l'administrateur de sécurité gère la sécurité de l'imprimante, notamment les étiquettes et la manière dont les sorties étiquetées sont gérées. Les administrateurs suivent les procédures d'administration des imprimantes Oracle Solaris de base, puis ils assignent des étiquettes aux serveurs d'impression et aux imprimantes.

Trusted Extensions prend en charge l'impression à niveau unique et l'impression multiniveau. L'impression multiniveau est uniquement implémentée dans la zone globale. Pour utiliser le serveur d'impression de la zone globale, une zone étiquetée doit avoir un nom d'hôte différent de celui de la zone globale. Une manière d'obtenir un nom d'hôte distinct est d'assigner une adresse IP à la zone étiquetée. L'adresse serait différente de l'adresse IP de la zone globale.

Restriction de l'accès aux imprimantes et aux informations relatives aux travaux d'impression dans Trusted Extensions

Les utilisateurs et les rôles des systèmes configurés avec Trusted Extensions créent des travaux d'impression correspondant à l'étiquette de leur session. Les travaux d'impression peuvent uniquement être imprimés sur des imprimantes qui reconnaissent cette étiquette. L'étiquette doit se trouver dans la plage d'étiquettes du périphérique.

Les utilisateurs et les rôles peuvent afficher les travaux d'impression dont l'étiquette est identique à l'étiquette de la session. Dans la zone globale, un rôle peut visualiser les travaux dont l'étiquette est dominée par l'étiquette de la zone.

Les imprimantes configurées avec Trusted Extensions impriment des étiquettes sur les sorties d'imprimante. Les imprimantes gérées par des serveurs d'impression non étiquetés n'impriment pas les étiquettes sur les sorties d'imprimante. Ces imprimantes ont la même étiquette que leur serveur non étiqueté. Par exemple, une étiquette arbitraire peut être assignée à un serveur d'impression Oracle Solaris dans la base de données tnrhdb du service de nommage LDAP. Les utilisateurs peuvent ensuite imprimer des travaux sous cette étiquette arbitraire sur l'imprimante Oracle Solaris. À l'instar des imprimantes Trusted Extensions, ces imprimantes Oracle Solaris peuvent uniquement accepter les travaux d'impression provenant d'utilisateurs qui travaillent sous l'étiquette assignée au serveur d'impression.

Sorties d'imprimante étiquetées

Trusted Extensions imprime les informations de sécurité sur les pages de corps de texte, les pages de garde et les pages de fin. Ces informations proviennent du fichier label_encodings et du fichier tsol_separator.ps.

L'administrateur de sécurité peut effectuer les opérations suivantes pour modifier les valeurs par défaut de configuration des étiquettes et ajouter des instructions de traitement aux sorties d'imprimante :

Localiser ou personnaliser le texte des pages de garde et de fin
Spécifier d'autres étiquettes à imprimer sur les pages de corps de texte ou dans les différents champs des pages de garde et de fin
Modifier ou omettre le texte ou les étiquettes

L'administrateur de sécurité peut également configurer des comptes utilisateurs pour qu'ils utilisent des imprimantes n'imprimant pas d'étiquettes sur la sortie. Les utilisateurs peuvent également être autorisés à ne pas imprimer certaines bannières ou étiquettes sur les sorties d'imprimante.

Pages de corps de texte étiquetées

Par défaut, la classification "Protéger en tant que" est imprimée dans la partie supérieure et inférieure de chaque page de corps de texte. La classification "Protéger en tant que" est la classification dominante lorsque la classification de l'étiquette du travail est comparée à la minimum protect as classification (classification de protection en tant que minimale). La minimum protect as classification est définie dans le fichier label_encodings.

Par exemple, si l'utilisateur est connecté à une session à usage interne uniquement (Internal Use Only), les travaux d'impression étiquetés de l'utilisateur correspondent à cette étiquette. Si la minimum protect as classification du fichier label_encodings est Public, l'étiquette Internal Use Only (Usage interne uniquement) est imprimée sur les pages de corps de texte.

Figure 15-1 Impression de l'étiquette d'un travail dans la partie supérieure et inférieure d'une page de corps de texte

image:L'illustration montre un exemple de page de garde comprenant une étiquette imprimée en haut et en bas de la page.

Pages de garde et de fin étiquetées

Les figurent suivantes montrent une page de garde par défaut et indique en quoi elle diffère d'une page de fin par défaut. Les légendes identifient les différentes sections. Notez que la page de fin utilise une ligne de contour différente.

Le texte, les étiquettes et les avertissements qui s'affichent sur les travaux d'impression sont configurables. Le texte peut également être localisé et remplacé par un texte dans une autre langue.

Figure 15-2 Page de garde type d'un travail d'impression étiqueté

image:L'illustration montre une page de garde affichant le numéro du travail, les classifications et les instructions de traitement.

Figure 15-3 Page de fin : différences par rapport à la page de garde

image:L'illustration montre que la page de fin affiche FIN DU TRAVAIL tandis que la page de garde affiche DÉMARRAGE DU TRAVAIL en bas de page.

Le tableau suivant présente des aspects de l'impression de confiance que l'administrateur de sécurité peut changer en modifiant le fichier /usr/lib/lp/postscript/tsol_separator.ps.

Remarque - Pour localiser ou internationaliser les sorties d'imprimante, consultez les commentaires dans le fichier tsol_separator.ps.

Tableau 15-1 Valeurs configurables dans le fichier tsol_separator.ps

Sortie	Valeur par défaut	Mode de définition	Modification
`PRINTER BANNERS`	`/Caveats Job_Caveats`	`/Caveats Job_Caveats`	Reportez-vous à la section Specifying Printer Banners du Oracle Solaris Trusted Extensions Label Administration.
`CHANNELS`	`/Channels Job_Channels`	`/Channels Job_Channels`	Reportez-vous à la section Specifying Channels du Oracle Solaris Trusted Extensions Label Administration.
Étiquette dans la partie supérieure des pages de garde et de fin	`/HeadLabel Job_Protect def`	Voir la description pour `/PageLabel`.	Même procédure que pour la modification de `/PageLabel`. Reportez-vous également à la section Specifying the Protect As Classification du Oracle Solaris Trusted Extensions Label Administration.
Étiquette dans la partie supérieure et inférieure des pages de corps de texte	`/PageLabel Job_Protect def`	Compare l'étiquette du travail à la `minimum protect as classification` dans le fichier `label_encodings`. Imprime la classification la plus dominante. Inclut des compartiments lorsque l'étiquette du travail d'impression en contient.	Modifiez la définition de `/PageLabel` pour spécifier une autre valeur. Ou saisissez une chaîne de caractères de votre choix. Ou n'imprimez rien du tout.
Texte et étiquette dans la mention de classification "Protéger en tant que"	`/Protect Job_Protect def` `/Protect_Text1 () def` `/Protect_Text2 () def`	Voir la description pour `/PageLabel`. Texte affiché au-dessus de l'étiquette. Texte affiché au-dessous de l'étiquette.	Même procédure que pour la modification de `/PageLabel`. Remplacez `()` dans `Protect_Text1` et `Protect_Text2` par une chaîne de texte.

Impression PostScript d'informations de sécurité

L'impression étiquetée dans Trusted Extensions s'appuie sur les fonctions d'impression de Solaris. Dans le SE Oracle Solaris, les scripts du modèle d'imprimante gèrent la création de la page de garde. Pour implémenter l'étiquetage, un script de modèle d'imprimante commence par convertir le travail d'impression en un fichier PostScript. Le fichier PostScript est ensuite manipulé pour insérer des étiquettes sur les pages de corps de texte et créer des pages de garde et de fin.

Les scripts de modèle d'imprimante &Solaris peuvent également traduire PostScript dans la langue d'origine d'une imprimante. Lorsqu'une imprimante accepte l'entrée PostScript, Oracle Solaris envoie le travail d'impression à l'imprimante. Lorsqu'une imprimante n'accepte pas l'entrée PostScript, le logiciel convertit le format PostScript en image raster. L'image raster est ensuite convertie au format d'imprimante approprié.

Étant donné que le logiciel PostScript est utilisé pour imprimer les informations d'étiquettes, par défaut, les utilisateurs ne peuvent pas imprimer de fichiers PostScript. Cette restriction empêche un programmeur PostScript expérimenté de créer un fichier PostScript modifiant les étiquettes sur les sorties d'imprimante.

Le rôle d'administrateur de sécurité peut passer outre à cette restriction en assignant l'autorisation Print Postscript à des comptes de rôles et à des utilisateurs dignes de confiance. L'autorisation n'est assignée que s'il est certain que le compte concerné n'usurpera pas les étiquettes sur les sorties d'imprimante. En outre, l'octroi à un utilisateur de l'autorisation d'imprimer des fichiers PostScript doit être compatible avec la stratégie de sécurité du site.

Scripts de modèle d'imprimante

Un script de modèle d'imprimante permet à un modèle d'imprimante particulier de fournir des pages de garde et de fin. Trusted Extensions fournit quatre scripts :

tsol_standard : pour les imprimantes PostScript directement reliées, par exemple, via un port parallèle
tsol_netstandard : pour les imprimantes PostScript accessibles via le réseau
tsol_standard_foomatic : pour les imprimantes directement reliées qui n'impriment pas le format PostScript
tsol_netstandard_foomatic : pour les imprimantes accessibles via le réseau qui n'impriment pas le format PostScript

Les scripts foomatic sont utilisés lorsqu'un nom de pilote d'imprimante commence par Foomatic. Les pilotes Foomatic sont des pilotes d'imprimante PostScript (PPD).

Remarque - Lorsque vous ajoutez une imprimante à une zone étiquetée, "Utiliser PPD" est spécifié par défaut dans le Gestionnaire d'impression. Un fichier PPD est ensuite utilisé pour traduire les pages de garde et de fin dans la langue de l'imprimante.

Filtres de conversion supplémentaires

Un filtre de conversion convertit des fichiers texte au format PostScript. Les programmes du filtre sont des programmes de confiance exécutés par le démon d'imprimante. Les fichiers convertis au format PostScript par n'importe quel programme de filtrage installé offrent la garantie de présenter des étiquettes et des textes de page de garde et de fin authentiques.

Oracle Solaris fournit la plupart des filtres requis par un site. Le rôle d'administrateur système d'un site peut installer des filtres supplémentaires. L'authenticité des étiquettes et des pages de garde et de fin de ces filtres est garantie. Pour ajouter des filtres de conversion, reportez-vous au Chapitre 7, Customizing LP Printing Services and Printers (Tasks) du System Administration Guide: Printing.

Interopérabilité de Trusted Extensions et de l'impression Trusted Solaris 8

Les systèmes Trusted Solaris 8 et Trusted Extensions contenant des fichiers label_encodings compatibles et s'identifiant mutuellement à l'aide d'un modèle CIPSO peuvent s'utiliser l'un l'autre pour l'impression à distance. Le tableau suivant décrit la configuration requise des systèmes pour permettre l'impression. Par défaut, les utilisateurs ne peuvent pas lister ou annuler les travaux d'impression d'un serveur d'impression distant exécutant l'autre système d'exploitation. Si vous le souhaitez, vous pouvez autoriser des utilisateurs à le faire.

Système d'origine	Système du serveur d'impression	Action	Résultats
Trusted Extensions	Trusted Solaris 8	Configurez l'impression : dans le fichier `tnrhdb` de Trusted Extensions, assignez un modèle comportant la plage d'étiquettes appropriée au serveur d'impression Trusted Solaris 8. L'étiquette peut être CIPSO ou sans étiquette.	Une imprimante Trusted Solaris 8 peut imprimer des travaux d'impression provenant d'un système Trusted Extensions dans les limites de la plage d'étiquettes de l'imprimante.
Trusted Extensions	Trusted Solaris 8	Autorisez des utilisateurs : dans le système Trusted Extensions créez un profil qui ajoute les autorisations nécessaires. Assignez le profil à des utilisateurs.	Les utilisateurs Trusted Extensions peuvent lister ou annuler les travaux d'impression qu'ils envoient vers une imprimante Trusted Solaris 8. Les utilisateurs ne peuvent ni visualiser, ni supprimer les travaux ayant une autre étiquette.
Trusted Solaris 8	Trusted Extensions	Configurez l'impression : dans le fichier `tnrhdb` Trusted Solaris 8, assignez un modèle comportant la plage d'étiquettes appropriée au serveur d'impression Trusted Extensions. L'étiquette peut être CIPSO ou sans étiquette.	Une imprimante Trusted Extensions peut imprimer des travaux provenant d'un système Trusted Solaris 8 dans les limites de la plage d'étiquettes de l'imprimante.
Trusted Solaris 8	Trusted Extensions	Autorisez des utilisateurs : dans le système Trusted Solaris 8 créez un profil qui ajoute les autorisations nécessaires. Assignez le profil à des utilisateurs.	Les utilisateurs Trusted Solaris 8 peuvent lister ou annuler les travaux d'impression qu'ils envoient vers une imprimante Trusted Extensions. Les utilisateurs ne peuvent ni visualiser, ni supprimer les travaux ayant une autre étiquette.

Interfaces d'impression Trusted Extensions (référence)

Les commandes utilisateur suivantes sont étendues pour être conformes à la stratégie de sécurité de Trusted Extensions :

annuler : pour annuler un travail, l'appelant doit avoir une étiquette égale à celle du travail d'impression. Par défaut, les utilisateurs standard ne peuvent annuler que leurs propres travaux.
lp : Trusted Extensions ajoute l'option -o nolabels. Les utilisateurs doivent être autorisés à imprimer sans étiquette. De même, les utilisateurs doivent être autorisés à utiliser l'option -o nobanner.
Ipstat : pour obtenir l'état d'un travail, l'appelant doit avoir une étiquette égale à celle du travail d'impression. Par défaut, les utilisateurs standard ne peuvent consulter que leurs propres travaux d'impression.

Les commandes d'administration suivantes sont étendues pour être conformes à la stratégie de sécurité de Trusted Extensions. Comme dans le SE Oracle Solaris, ces commandes ne peuvent être exécutées que par un rôle comprenant le profil de droits Printer management (Gestion des imprimantes).

lpmove : pour déplacer un travail, l'appelant doit avoir une étiquette égale à celle du travail d'impression. Par défaut, les utilisateurs standard ne peuvent déplacer que leurs propres travaux d'impression.
lpadmin : dans la zone globale, cette commande fonctionne pour tous les travaux. Dans une zone étiquetée, l'appelant doit dominer l'étiquette du travail d'impression pour visualiser un travail, et posséder une étiquette égale à celle du travail d'impression pour modifier un travail.

Trusted Extensions ajoute des scripts de modèles d'imprimante à l'option -m. Trusted Extensions ajoute l'option -o nolabels.
lpsched : dans la zone globale, cette commande aboutit toujours. Comme dans le SE Oracle Solaris, utilisez la commande svcadm pour activer, désactiver, démarrer ou redémarrer le service d'impression. Dans une zone étiquetée, l'appelant doit avoir une étiquette égale à celle du service d'impression pour modifier le service d'impression. Pour plus d'informations sur l'utilitaire de gestion des services, reportez-vous aux pages de manuel smf(5), svcadm(1M), et svcs(1).

Trusted Extensions ajoute l'autorisation solaris.label.print au profil de droits Printer Management (Gestion des imprimantes). L'autorisation solaris.print.unlabeled est requise pour imprimer des pages de corps de texte sans étiquette.

Ignorer les liens de navigation
Quitter l'aperu
	Procédures de l'administrateur Oracle Solaris Trusted Extensions