第 14 章 印刷管理

標準の Solaris 印刷ユーティリティおよびデータベースは、Trusted Solaris の条件に合わせて修正されています。プリンタ管理業務はシステム管理者とセキュリティ管理者の両方の役割で共有されています。いずれの管理者も、『Solaris のシステム管理 (第 2 巻)』に記述されているプリンタ管理の概念について、熟知していることが必要です。

この章では、Trusted Solaris 環境での印刷に関する特徴を理解して、管理を行うために、以下の項目の背景知識について説明します。

• 「印刷ジョブにラベルを割り当てる」

• 「プリンタのラベル範囲を使用して印刷できるジョブを制御する」

• 「情報のラベル付けとプリンタへのアクセス制御」

• 「プリンタ出力にラベルおよびその他の情報を印刷する」

• 「/usr/lib/lp/postscript/tsol_separator.ps」

• 「本ページにラベルを印刷する」

• 「バナーページとトレーラページ上のラベル、ジョブ番号、および取り扱い情報 」

• 「使用可能なプリンタ」

• 「 プリンタを設定する」

• 「修正されているユーティリティおよびマニュアルページ」

• 「印刷デフォルトを回避するための承認」

この章では、以下の手順についても説明しています。

• 「プリンタマネージャを起動するには」

• 「Trusted Solaris 印刷サーバーに接続されたプリンタをインストールするには」

• 「ラベル付きで出力するようにネットワークプリンタを構成するには」

• 「Trusted Solaris プリンタサーバに接続されたプリンタにラベル範囲制限を設定するには」

• 「リモートプリンタへのアクセスを追加するには」

• 「特定のユーザーにバナーとトレーラのないジョブの印刷を許可する 」

• 「すべての印刷ジョブでページラベルの印刷を抑制するには」

• 「特定のユーザーにページラベルなしの印刷ジョブを許可するには」

• 「ラベルなしの印刷サーバーから公開印刷ジョブを設定するには」

関連する用語

バナーページとトレーラページ

基本的な Solaris 印刷システムでは、各ジョブはバナーページを付けて印刷します。バナーページには、以下のような情報が含まれます。

• ジョブを投入したユーザー

• 印刷した時刻

• ジョブが投入されたホストの名前

Solaris ユーザーはバナーページの出力を抑制できます。

Trusted Solaris システムでは、バナーページと対になるトレーラページを一緒に印刷します。バナーおよびトレーラページには、次のものが含まれています。

• 同じジョブに属するバナーとトレーラのページを識別する番号

• 印刷ジョブについての他のセキュリティ関連情報

バナーおよびトレーラページの印刷を無効にできるのは、セキュリティ管理者役割から特別な承認を与えられている Trusted Solaris ユーザーに限られます。印刷承認については、「印刷デフォルトを回避するための承認」を参照してください。

本文ページ

印刷ジョブの本文ページは、ユーザーが印刷するために投入したデータが含まれています。Trusted Solaris システムでは、各本文ページの最上部と最下部にラベルが印刷されます。本文ページのラベルを無効にできるのは、セキュリティ管理者から特別な承認を与えられているユーザーに限られます。印刷承認については、「印刷デフォルトを回避するための承認」を参照してください。

印刷ジョブにラベルを割り当てる

各印刷ジョブには、ユーザーが作業している機密ラベルに対応する機密ラベルが自動的に割り当てられます。次の図では、社員が INTERNAL_USE_ONLY の機密ラベルが付けられた電子メールを読んでいます。この社員が「メッセージ (Message)」メニューの「印刷 (Print)」オプションを選択し、電子メールをプリンタに送ると、この印刷ジョブには、自動的に INTERNAL_USE_ONLY の機密ラベルが割り当てられます。

図 14-1 印刷ジョブの自動ラベル付け

プリンタのラベル範囲を使用して印刷できるジョブを制御する

プリンタは、制限されたラベル範囲内のラベルを持つジョブだけを印刷するように設定することができます。ジョブを実行できないときは、電子メールで送信者に通知されます。

たとえば、法務部門のプリンタが、次の 3 つのうちのいずれかのラベルで送られたジョブだけを印刷するように設定されているとします。

• NEED_TO_KNOW LEGAL

• INTERNAL_USE_ONLY

• PUBLIC

上記のように設定されている法務部門のプリンタは、次の図に示すようにこの 3 つの機密ラベル以外のジョブを拒否します。

図 14-2 ラベル範囲を制限しているプリンタの例

プリンタへのラベル範囲制限の設定は、管理者がデバイス割り当てマネージャを使用して行います。これについては、次の「Trusted Solaris プリンタサーバに接続されたプリンタにラベル範囲制限を設定するには」で説明しています。「Trusted Solaris プリンタサーバに接続されたプリンタにラベル範囲制限を設定するには」

---

注意 -

機密情報を印刷するプリンタの場合、プリンタへの物理的なアクセスを制限する必要があります。

---

情報のラベル付けとプリンタへのアクセス制御

Trusted Solaris 印刷サブシステムには、デフォルトで以下の機能が組み込まれています。

• すべての印刷ジョブのバナーページとトレーラページには、印刷ジョブの機密ラベルに基づく処理情報 (サイトで構成可能) や、ジョブの開始と終了を識別する識別番号が示されます。

  ---

  注 -

  組織によっては、バナーページとトレーラページの情報に基づいて、印刷出力の取り扱いと配布を管理する担当者を置いている場合があります。通常その担当者は、ポリシーに従って、バナーとトレーラページの識別番号が一致しないジョブを廃棄します。

  ---

• 印刷ジョブと印刷データ自体についてのセキュリティ関連情報は保護されます。

• 印刷待ち行列内のジョブの状態情報は、MAC および DAC によって制御されます。

• プリンタごとに機密ラベル範囲の制限を設定し、そのプリンタで印刷するジョブを制御できます。

• 異なる機密ラベルの情報は、MLD (マルチレベルディレクトリ) として構成されている標準の印刷サービスディレクトリ内にある SLD (シングルレベルディレクトリ) に格納されます。

バナーページとトレーラページ、および本文ページの最上部と最下部のラベルの印刷は、承認されたユーザーまたは役割アカウントがコマンド行オプションを使用することにより抑制することができ、また、管理アクションを使用して、すべてのユーザーに対してこれらの機能を無効にすることができます。

システムの MAC および DAC ポリシーは、それぞれの印刷要求に含まれるデータに対して適用されます。これが適用されるのは、印刷要求が提示された時点から要求されたデータが物理的なページに印刷されるまでの間です。ジョブがプリンタに送信されるのは、印刷ジョブのラベルがプリンタのラベル範囲内にあるときだけです。保護規定を破ったり回避しようとする試みはすべて検出され、監査トレールが生成されます。

---

注意 -

ラベルなしホスト間で送受信される印刷ジョブには、ホストに割り当てられているトラステッドネットワークテンプレートから UID とデフォルトの機密ラベルが割り当てられます。ラベルなしホスト (unlab) のデフォルトのテンプレートでは、デフォルトの UID は nobody で、デフォルトの機密ラベルは ADMIN_LOW です。デフォルトの UID は変更可能であり、デフォルトの機密ラベルは変更しなければなりません。テンプレート例において ADMIN_LOW 機密ラベルが使われているのは、label_encodings ファイルにおけるユーザーレベルのラベルの設定がサイトごとに異なるためです。セキュリティ管理者役割はデフォルトの機密ラベルを、サイトのユーザー認可範囲内に収まるようなラベルに変更する必要があります。そうしなければ、通常のユーザーは ADMIN_LOW では操作を行えないので、印刷することはできません。

---

プリンタ出力の処理は、サイトごとに、サイトのセキュリティポリシーと手順に従って制御されます。機密情報を印刷するプリンタは、見る権限のない人がアクセスできないように物理的に保護する必要があります。また、その印刷出力も、サイトに固有な手順に従って、見る権限のない人がアクセスできないように物理的に保護する必要があります。

Trusted Solaris オペレーティングシステムが動作しているホストからのすべてのプリンタの出力には、サイトの要件に従って自動的にラベルが印刷されます。

次のディレクトリが MLD として作成されます。

/var/spool/print

/var/spool/lp/requests/system_name

/var/spool/lp/tmp/system_name

/var/spool/lp/tmp/.net/requests/system_name

/var/spool/lp/tmp/.net/tmp/system_name

ジョブの一覧表示に関するアクセス制御

デフォルトでは、待ち行列一覧表示コマンド (lpstat と lpq) は、ユーザーが発行したジョブの中で、そのユーザーの現在の機密ラベルと同じかまたはそれよりも優位な機密ラベルを持つジョブだけを表示します。他のユーザーが発行したジョブを表示できるのは、承認されたユーザーだけです。Trusted Solaris に固有な lpstat と lpq の -M オプションを使うと、承認されたユーザーはすべての機密ラベルのジョブを一覧表示できます。承認の一覧については、「印刷デフォルトを回避するための承認」を参照してください。

---

注 -

単一ラベルのホストから Trusted Solaris 7 印刷サーバーにジョブを発行したユーザーは、待ち行列内のジョブを見ることができません。ユーザーがラベル付きホストからジョブを送信した場合、トラステッドネットワークは印刷要求を送信したユーザーの UID を提供します。ユーザーがラベルなしホストからジョブを送信した場合、ジョブを送信したユーザーの UID は利用できません。したがって、印刷ジョブに割り当てられた UID はそのジョブを発行したユーザーの UID と一致しません。

---

ジョブの取り消しに関するアクセス制御

デフォルトでは、待ち行列一覧表示コマンド (lpstat と lpq) は、ユーザーが発行したジョブの中で、そのユーザーの現在の機密ラベルを持つジョブだけを取り消します。他のユーザーが発行したジョブを取り消すことができるのは、承認されたユーザーだけです。Trusted Solaris に固有な lpstat と lpq の -M オプションを使うと、承認されたユーザーはすべての機密ラベルのジョブを一覧表示できます。承認の一覧については、「印刷デフォルトを回避するための承認」を参照してください。

---

注 -

単一ラベルのホストから Trusted Solaris 7 印刷サーバーにジョブを発行したユーザーは、そのジョブを取り消すことができません。ユーザーがラベル付きホストからジョブを送信した場合、トラステッドネットワークは印刷要求を送信したユーザーの UID を提供します。ユーザーがラベルなしホストからジョブを送信した場合、ジョブを送信したユーザーの UID は利用できません。したがって、印刷ジョブに割り当てられた UID はそのジョブを発行したユーザーの UID と一致しません。

---

プリンタ出力にラベルおよびその他の情報を印刷する

本節では次の項目について説明をします。

• tsol_separator.ps ファイル

• 本文ページに印刷されたラベル

• バナーページとトレーラページに印刷されたラベルとその他の情報

• どのようにしてデフォルトラベルおよび情報が変更できるか

/usr/lib/lp/postscript/tsol_separator.ps

セキュリティ管理者役割は、印刷サーバー上にある /usr/lib/lp/postscript ディレクトリ内の tsol_separator.ps ファイルを変更することによって、次の処理を行うことができます。

• バナーページとトレーラページのテキストの各国語対応

• バナーページとトレーラページのさまざまなフィールドまたは本文ページの最上部と最下部に印刷される代替ラベルの指定

• テキストまたはラベルの変更または省略

上記以外のカスタマイズまたは国際化を行う方法については、tsol_separator.ps ファイル内のコメントを参照してください。次の節では、どの設定がどのラベルや情報を変更し、設定値がどのように変更されるかについて説明します。

本ページにラベルを印刷する

デフォルトでは、印刷ジョブの機密ラベルはすべての本文ページの最上部と最下部に印刷されます。

セキュリティ管理者役割は、次のいずれかの方法により、本文ページに印刷される機密ラベルのデフォルト設定を変更できます。

• 本文ページにラベルを付けずにジョブを印刷できる承認をユーザーに与える

• 印刷サーバー上の tsol_separator.ps 設定ファイルのフィールドを次のように再定義する

  • すべてのユーザーについて、本文ページにラベルが印刷されないようにする

  • すべてのユーザーについて、機密ラベルの別の情報や、他の語句、ラベルが本文ページに印刷されるようにする

「/usr/lib/lp/postscript/tsol_separator.ps」を参照してください。また、次の関連手順も参照してください。

• 「特定のユーザーにバナーとトレーラのないジョブの印刷を許可する 」

• 「すべての印刷ジョブでページラベルの印刷を抑制するには」

機密ラベルの外見は、tsol_separator.ps ファイル内では /Job_SL_External と呼ばれ、バナーページとトレーラページの最上部と最下部に印刷されるように /HeadLabel 定義によって指定されています。/HeadLabel 定義を変更すれば、バナーページとトレーラページの最上部と最下部に異なる文字列を印刷したり、何も印刷しないようにできます。

図 14-3 本文ページに印刷される機密ラベル

バナーページとトレーラページ上のラベル、ジョブ番号、および取り扱い情報

次の図に、デフォルトのバナーページを示し、デフォルトのトレーラページとの違いを示します。トレーラページでは、グレーのフレームの代わりに黒い太線が印刷され、ページ種類の識別子が JOB START から JOB END に変わっています。すべてのデフォルト値は、サイトの要件に合わせて変更できます。

図 14-4 一般的な印刷ジョブのバナーページ

図 14-5 トレーラページでの変更点

印刷ジョブに表示されるすべてのテキスト、ラベル、および警告はサイトごとに設定可能です。各国語対応のために、テキストは別の言語のテキストに置き換えることができます。

• ジョブの機密ラベルの格付けと label_encodings ファイルに定義されている minimum protect as classification を比較した場合、"Protect As" 格付けは優位な格付けです。

  "Protect As" 格付け自体は、tsol_separator.ps ファイル内では /Job_Classification と呼ばれ、バナーページとトレーラページの最上部と最下部に印刷されるように /PageLabel 定義によって指定されています。/PageLabel 定義を変更すれば、バナーページとトレーラページの最上部と最下部に別の文字列を印刷したり、何も印刷しないようにできます。

  "Protect As" 格付けがジョブの機密ラベル内のコンパートメントといっしょに印刷される場合、両者は、tsol_separator.ps ファイル内では /Job_Protect と呼ばれます。この値は、"Protect As" 文に印刷されるように /Protect 定義によって指定されています。デフォルトの /Protect定義を変更すれば、別の値を印刷したり、何も印刷しないようにできます。

• "Protect As" 文の 2 つのテキスト行は、tsol_separator.ps ファイル内の /Protect_Text1 定義と /Protect_Text2 定義で指定されます。デフォルトの /Protect_Text1 定義と /Protect_Text2 定義を変更すれば、別の語句を印刷したり、何も印刷しないようにできます。

• PRINTER BANNERS 値と CHANNELS 値は、ジョブの機密ラベル内のコンパートメントに基づいた変数値を印刷するように、label_encodings ファイル内で定義されています。PRINTER BANNERS は tsol_separator.ps ファイル内では /Job_Caveats と呼ばれ、/Caveats 定義で使われるように指定されています。CHANNELS は /Job_Channels と呼ばれ、/Channels 定義で使われるように指定されています。デフォルトの /Caveats 定義と /Channels 定義を変更すれば、別の値を印刷したり、何も印刷しないようにできます。

label_encodings ファイル内の minimum protect as classification、PRINTER BANNERS 値、および CHANNELS 値を設定する方法については、『Trusted Solaris ラベルの管理』の「プリンタ出力のためのラベルの指定と取り扱い上のガイドライン」を参照してください。

使用可能なプリンタ

ページラベル、バナーページ、およびトレーラページをサポートするプリンタは PostScript プリンタだけです。PostScript 以外のプリンタも、正しく機能しますが、ページラベルや、バナーページおよびトレーラページをサポートしていないため、Trusted Solaris の印刷要件を満たしていません。

---

警告 -

PostScript プリンタのようなインテリジェントなプリンタを使用する場合は、オブジェクトの再使用に関連した問題が発生する可能性があります。これは、次のジョブを受け付ける前に、プリンタのメモリー内のすべてのデータをパージできるとはかぎならいためです。また、知識のあるプログラマであれば、処理中のジョブや以降のジョブのラベルを偽装する PostScript 印刷ジョブを作成できる可能性があります。

---

トラステッド Solaris 以外の印刷サーバーに接続されたプリンタ

Trusted Solaris を実行していないホスト (印刷サーバー) に接続または管理されているプリンタでも、Trusted Solaris ホストから送られたジョブの印刷を行うことができます。ただし、このジョブは、ラベルなし、トレーラページなし、バナーページ上のセキュリティ情報なしで印刷されます。ラベルのないサーバーに接続されている印刷サーバーは、Trusted Solaris ホスト上のトラステッドネットワークデータベースに格納されている印刷サーバー用に設定された単一ラベルでのみジョブを印刷します。

サイトのセキュリティポリシーに合致していれば、セキュリティ管理者役割は、Trusted Solaris を実行していない印刷サーバーに接続されたプリンタで印刷を行うように設定できます。この場合、次の作業が必要です。

• セキュリティ管理者役割は、特定の機密ラベルを持つ印刷サーバーホストを設定する

• ユーザーは、印刷サーバーに割り当てられているのと同じ機密ラベルで、単一ラベルプリンタに印刷ジョブを送信する

  単一ラベルは tnrhdb(4) ファイルまたは tnrhtp(4) ファイル内で、ラベルなし印刷サーバーの IP アドレスに割り当てられます。セキュリティ管理者がラベルなしのホストに単一の機密ラベルを割り当てる方法については、第 10 章「トラステッドネットワークデータベース におけるセキュリティ属性の指定とルーティング設定」を参照してください。

ラベルなしホストから Trusted Solaris 印刷サーバーへの印刷

ラベルなしホストからの印刷がサポートされています。単一ラベルのホストから Trusted Solaris 印刷サーバーにジョブを発行したユーザーは、そのジョブを取り消したり、印刷待ち行列からそのジョブを削除したりすることはできません。ユーザーがラベル付きホストからジョブを送信した場合、トラステッドネットワークは印刷要求を送信したユーザーの UID を提供します。ユーザーがラベルなしホストからジョブを送信した場合、ジョブを送信したユーザーの UID は利用できません。したがって、印刷ジョブに割り当てられた UID はそのジョブを発行したユーザーの UID と一致しません。

ネットワークプリンタ

スタンドアロンのネットワークプリンタは、Trusted Solaris ホスト上で印刷マネージャの「ネットワークプリンタをインストール (Install Network Printer)」オプションを使って設定できます。ネットワークプリンタは単一ラベルのジョブだけを印刷できます。単一ラベルは、tnrhdb(4) ファイルまたは tnrhtp(4) ファイル内でラベルなし印刷サーバーの IP アドレスに割り当てられます。セキュリティ管理者が単一機密ラベルをラベルなしホストに割り当てる方法については、第 10 章「トラステッドネットワークデータベース におけるセキュリティ属性の指定とルーティング設定」を参照してください。

ネットワークプリンタがローカルの Trusted Solaris ホストにネットワークプリンタとしてインストールされている場合、あるいは、プリンタマネージャの「NIS+」オプションを使って NIS+ テーブルに登録されている場合、そのネットワークプリンタは、本文ページ、バナーページ、およびトレーラページにラベルを印刷できます。「ラベル付きで出力するようにネットワークプリンタを構成するには」を参照してください。

Trusted Solaris 1.x のサポート

Trusted Solaris 1.x システムとの要求の送受信がサポートされています。ただし、Trusted Solaris 7 以降の印刷サーバーからのクライアント要求は、Trusted Solaris 1.x 印刷サーバーには転送されません。

Trusted Solaris 2.x のサポート

Trusted Solaris 2.x システムとの要求の送受信がサポートされています。Trusted Solaris 7 以降のバージョンでは、他のユーザーの印刷ジョブを一覧表示または取り消すときの制御方法が異なっています。Trusted Solaris 2.x では、他のユーザーの印刷ジョブを一覧表示または取り消すときに DAC と MAC を無視できるかどうかは、クライアントの特権によって制御されます。Trusted Solaris 7 以降のバージョンでは、特権ではなく、承認によって制御されます。「印刷デフォルトを回避するための承認」を参照してください。

ユーザーが Trusted Solaris 2.x システム上のプリンタの印刷ジョブを一覧表示または取り消せるようにするには、lpstat コマンドと cancel コマンドに必要な特権 (file_dac_read、file_dac_write、file_mac_read、file_mac_write) を追加するプロファイルを作成します。

PostScript ファイルの印刷に関する問題

デフォルトでは、ユーザーは PostScript ファイルを印刷できません。この制限は、知識のある PostScript プログラマであれば、プリンタ出力のラベルを変更する PostScript ファイルを作成できてしまうためです。

この制限を回避するために、セキュリティ管理者役割は、「PostScript ファイルを印刷」という承認を信頼できるユーザーや役割アカウントに割り当てます。セキュリティ管理者役割がこの処理を行うのは、そのアカウントがプリンタ出力のラベルを偽装することがなく、また PostScript ファイルを印刷することをすべてのユーザーに許可することが、サイトのセキュリティポリシーに合致している場合だけです。「印刷デフォルトを回避するための承認」を参照してください。

ファイルの内容のサポートされている部分とされていない部分

Trusted Solaris 印刷システムに組み込まれているフィルタは、テキストファイルを PostScript に変換します。インストールされているフィルタプログラムによって PostScript に変換されたファイルは、認証ラベルとバナーおよびトレーラページテキストを持っていることが保証されます。これは、フィルタプログラムが印刷デーモンによって実行されるトラステッドプログラムであるためです。

サイト管理者は、追加のフィルタをインストールすることができ、そのフィルタは、認証ラベルとバナーおよびトレーラページを持つことが保証されます。フィルタの追加方法については、『Solaris のシステム管理 (第 2 巻)』を参照してください。

公開ジョブをラベル付きページなしのデフォルトで印刷できるようにする

テクニカルライターなど、ユーザーによっては、ページの最上部と最下部にラベルを印刷せずに、誰もが読めるドキュメントを作成したい場合があります。Solaris 印刷サーバーに接続されたプリンタが使用可能な場合、セキュリティ管理者役割のユーザー環境の設定によって、公開ジョブは Solaris ホストに接続されているプリンタに、それ以外のラベルのジョブは Trusted Solaris ホストに送ることができるようになります。この処理を行うには、第 3 章「ユーザーアカウントの管理」に説明されているユーザーアカウントの設定方法と、第 10 章「トラステッドネットワークデータベース におけるセキュリティ属性の指定とルーティング設定」に説明されているホストネットワークエントリについて理解している必要があります。「ラベルなしの印刷サーバーから公開印刷ジョブを設定するには」を参照してください。

プリンタを設定する

システム管理者役割は、以下の管理アプリケーションを使用して、プリンタの設定を行います。

• プリンタマネージャ−ローカルおよびリモートプリンタの設定。「Solstice アプリケーション (Solstice_Apps)」フォルダ上の「アプリケーションマネージャ」フォルダからプリンタマネージャを起動します。「プリンタマネージャを起動するには」を参照してください。

• デバイス割り当てマネージャの「管理」ダイアログボックス−プリンタのラベル範囲制限の指定。フロントパネルの「トラステッド・デスクトップ」サブパネルから、または「トラステッドパス (TP)」メニューの「デバイスを割り当てる」オプションを使ってデバイス割り当てマネージャを起動します。

  「Trusted Solaris 印刷サーバーに接続されたプリンタをインストールするには」、「Trusted Solaris プリンタサーバに接続されたプリンタにラベル範囲制限を設定するには」、および 「リモートプリンタへのアクセスを追加するには」を参照してください。

修正されているユーティリティおよびマニュアルページ

以下の一覧表に示したコマンドおよびファイルは、Trusted Solaris セキュリティポリシーに従って動作するように修正されています。次の表の 3　番目の欄が Y となっているコマンドを使用するには、アカウントに「印刷を管理」承認が必要です。これらのコマンドの詳細および Trusted Solaris での違いに関しては、マニュアルページを参照してください。

表 14-1 印刷関連コマンド

コマンド	説明	「印刷を管理」承認が必要か Y または N
accept(1M)/reject(1M)	印刷要求を待ち行列に入れることの許可または 拒否	Y/Y
enable(1)/disable(1)	LP プリンタの有効化、無効化	Y/Y
in.lpd(1M)	BSD 印刷プロトコルアダプタ	Y
lp(1)/cancel(1)	LP 印刷サービスへの要求の送信/取り消し	N
lpadmin(1M)	LP 印刷サービスの設定	Y
lpc(1B)	(BSD) ラインプリンタ制御コマンド	Y
lpfilter(1M)	LP 印刷サービスで使われるフィルタの管理	Y
lpforms(1M)	LP 印刷サービスで使われるフォームの管理	Y
lpq(1B)	(BSD) 印刷ジョブの待ち行列の表示	N
lpr(1B)	(BSD) プリンタへのジョブの送信	N
lprm(1B)	(BSD) プリンタ待ち行列からのジョブの削除	N
lpsched(1M)/lpshut(1M)/lpmove(1M)	LP 印刷サービスの起動/停止	Y/Y/Y
lpstat(1)	LP 印刷サービスの状態に関する情報の印刷	Y
lpset(1M)	/etc/printer.conf または FNS における印刷構成の設定	Y
lpsystem(1M)	印刷サービスへのリモートシステムの登録	Y
lptest(1B)	(BSD) ラインプリンタのリプルパターンの生成	Y
printers(4)	ユーザー構成可能なプリンタ別名データベース	適用されない
printers.conf(4)	システム印刷構成データベース	適用されない

印刷デフォルトを回避するための承認

次の表は、印刷に関連する承認の定義を示しています。ユーザーまたは役割が、目的欄に記述されている処理を実行できるようにするためには、そのユーザーまたは役割に割り当てられているプロファイルのいずれかに承認が含まれている必要があります。プロファイルは、印刷サーバー上のアカウントに対して有効になっていなければなりません。「アカウントに印刷関連の承認を割り当てるには」を参照してください。

表 14-2 印刷に関連する承認

名前	目的	デフォルト プロファイル	プロファイルが割り当てられているデフォルトの役割
印刷を管理	ユーザーまたは役割が管理ユーティリティを使用して、印刷デーモンの起動と停止、他のユーザーの印刷ジョブのリスト作成と取り消しなどの印刷の管理を行えるようにします。この承認を必要とするコマンドの一覧については、「修正されているユーティリティおよびマニュアルページ」を参照してください。	Printer Security  All Authorizations	secadmin  なし
印刷システムの MAC チェックを省略	「全印刷ジョブの取り消し」 承認が有効な場合、ユーザーまたは役割が任意の機密ラベルの印刷ジョブを取り消しまたは一覧表示できるようにします。さらに、「全印刷ジョブのリスト」 承認が有効な場合、任意の機密ラベルの印刷ジョブを一覧表示できるようにします。	Printer Security  All Authorizations	secadmin  なし
全印刷ジョブの取り消し	ユーザーまたは役割が他のユーザーが発行した印刷要求を取り消せるようにします。	Printer Security	secadmin
全印刷ジョブのリスト	ユーザーまたは役割が待ち行列に入っているすべてのユーザーの印刷ジョブを一覧表示できるようにします。	Printer Security	secadmin
PostScript ファイルを印刷	ユーザーまたは役割に PostScript ファイルの印刷を許可します。	Printer Security  Convenient Authorizations	secadmin  なし
バナーなしで印刷	ユーザーまたは役割が lp -o nobanner オプションを使用して印刷要求を投入したり、バナーおよびトレーラページの印刷を抑制できるようにします。 注: このオプションを有効にするには、そのプリンタのプリンタマネージャエントリの「常にバナーを印刷 (Always Print Banners)」チェックボックスをオフにしておく必要があります。	Printer Security	secadmin
ラベルなしで印刷	ユーザーが、-o nobanner オプションを指定した lp コマンドを使用して、印刷ジョブの本文ページの最上部と最下部にラベルが印刷されないように指定 した印刷要求を投入できるようにします	Printer Security  Convenient Authorizations	secadmin  なし

プリンタの構成と保守

セキュリティ管理者役割は、Trusted Solaris 印刷サーバーに接続されているプリンタを 2 段階の手順で設定します。「Trusted Solaris 印刷サーバーに接続されたプリンタをインストールするには」を参照してください。

• プリンタがシリアルポートに接続されている場合、Solstice シリアルマネージャを使って、正しいボーレートが設定されていることを確認します。

• Solstice プリンタマネージャを使って、ローカルプリンタを追加します。

• 必要に応じて、デバイス割り当てマネージャを使って、プリンタのラベル範囲を制限します。

---

注 -

プリンタクライアントは、プリンタクライアントホストとプリンタサーバー用のトラステッドネットワークデータベースエントリが許可するラベルでのみ印刷要求を発行できます。ラベル範囲は、ローカルに接続されたプリンタ、リモートプリンタ、およびスタンドアロンのネットワークプリンタに適用されます。

---

デフォルトでは、セキュリティ管理者役割には、プリンタを追加し、そのラベル範囲を指定するために必要な承認、コマンド、アクション、および特権を提供するプロファイルが割り当てられています。

• プリンタセキュリティプロファイル

• デバイスセキュリティプロファイル

印刷関連の手順

プリンタマネージャを起動するには

1. セキュリティ管理者役割になり、ADMIN_LOW ワークスペースに移動します。

   必要があれば、「ログイン後、特定の管理役割になるには」を参照してください。

2. フロントパネルの「アプリケーションマネージャ (Application Manager)」のアイコンをクリックして開きます。

   

3. 「Solstice アプリケーション (Solstice_Apps)」アイコンをダブルクリックします。

   

4. 「プリンタマネージャ (Printer Manager) 」アイコンをダブルクリックします。

   

   次の図のようなプリンタマネージャの「読み込み (Load)」ダイアログボックスが表示されます。

   

5. ネームサービスとして「なし (None)」または「NIS+」を選択します。

   次の図のようなプリンタマネージャが表示されます。

   

   「Trusted Solaris 印刷サーバーに接続されたプリンタをインストールするには」、「ラベル付きで出力するようにネットワークプリンタを構成するには」、または 「リモートプリンタへのアクセスを追加するには」 に進んでください。

Trusted Solaris 印刷サーバーに接続されたプリンタをインストールするには

1. プリンタのインストールマニュアルの記述に従って、適切なケーブルを使用し、印刷サーバー上のシリアルポートまたはパラレルポートにプリンタを接続します。

   画面の例では、プリンタは /dev/term/b というシリアルポートに接続されています。

2. プリントサーバー上でセキュリティ管理者役割になり、 ADMIN_LOW ワークスペースに移動します。

   必要があれば、「ログイン後、特定の管理役割になるには」を参照してください。

3. プリンタがシリアルポートに接続されている場合、「Solstice アプリケーション (Solstice_Apps)」フォルダの「シリアルポートマネージャ (Serial Manager)」を使って、ボーレートが正しく設定されていることを確かめます。

   1. 「Solstice アプリケーション (Solstice_Apps)」フォルダの「シリアルポートマネージャ (Serial Manager)」アイコンをダブルクリックします。

      必要があれば、「管理アプリケーションを起動するには」を参照してください。

      

   2. 「シリアルポートマネージャ (Serial Port Manager)」ダイアログボックスで、プリンタが接続されているポートのエントリをダブルクリックします。

      シリアルポートマネージャの「変更 (Modify)」ダイアログボックスが表示されます。次の図を参照してください。

      

   3. シリアルポートマネージャの「変更 (Modify)」ダイアログボックスで、ポートに指定されているボーレートの設定が正しいことを確認します。

      正しいボーレートについては、プリンタのマニュアルを参照してください。

4. 「Solstice アプリケーション (Solstice_Apps)」フォルダからプリンタマネージャを起動します。

   必要に応じて、「プリンタマネージャを起動するには」を参照してください。

5. 次の図のように、「編集 (Edit)」メニューの「ローカルプリンタのインストール (Install Printer)」を選択します。

   

   プリンタマネージャ の「ローカルプリンタのインストール (Install Printer)」ダイアログボックスが表示されます。

   

6. プリンタを設定します。

   1. プリンタ名を指定します。

      プリンタがネットワークプリンタの場合、手順 2 で割り当てたプリンタのホスト名を使います。

   2. 必要に応じて説明を入力します。

   3. プリンタを接続するポートの名前を「プリンタポート (Printer Port)」メニューから選択します。プリンタが標準以外のポートに接続されている場合は、「その他 (Other)」を選択し、代替ポートの名前を入力します。

      ttya と ttyb はシリアルケーブル用で、 bpp0 はパラレルケーブル用です。

   4. 「プリンタタイプ (Printer Type)」および「ファイルの形式 (File Contents)」の設定は、PostScript のままにしておきます。

      ---

      警告 -

      PostScript に設定されているデフォルトの「プリンタタイプ (Printer Type)」および「ファイルの形式 (File Contents)」の値を変更しないでください。変更すると印刷は行われません。

      ---

   5. 必要に応じて、「デフォルトプリンタ (Default Printer)」チェックボックスをオンまたはオフにします。

   6. バナーページおよびトレーラページなしで印刷することをユーザーに許可していないサイトでは、「常にバナーを印刷 (Always Print Banners)」チェックボックスをオンにします。

      ---

      注 -

      バナーおよびトレーラページなしの印刷の承認をユーザーに付与するサイトに関しては、「常にバナーを印刷 (Always Print Banners)」チェックボックスをオフにします。

      ---

   7. 必要に応じて、「アクセス可能ユーザー (User Access List)」にユーザーを追加します。

      特定のユーザーのユーザー名を追加すると、それ以外のすべてのユーザーは除外されます。この一覧を空のままにしておくと、すべてのユーザーにアクセスが与えられます。

   8. 「了解 (OK)」をクリックし、変更内容を保存して、ダイアログボックスを閉じます。

      プリンタマネージャは、device_allocate(4) ファイルにプリンタ用のエントリを作成します。したがって、そのプリンタ名はデバイス割り当てマネージャの一覧に表示されます。

ラベル付きで出力するようにネットワークプリンタを構成するには

1. プリンタのマニュアルを参照しながら、プリンタを設定し、IP アドレスを割り当てます。

2. システム管理者役割になり、ホストマネージャを使って、プリンタ用のエントリを作成します。

   1. プリンタ名を指定します。

   2. 「Solstice アプリケーション (Solstice_Apps)」フォルダにある「ホストマネージャ (Host Manager)」アイコンをダブルクリックします。

      必要であれば、「管理アプリケーションを起動するには」を参照してください。

   3. プリンタの名前と IP アドレスを指定します。

3. データベースマネージャを使って、tnrhdb(4) ファイル内でプリンタの IP アドレスにテンプレートを割り当てます。

   「データベースマネージャからトラステッドネットワークデータベースにアクセスするには」を参照してください。

4. 必要であれば、「データベースマネージャ (Database Manager)」を使って、tnrhtp(4) ファイル内でテンプレートを変更します。

5. プリンタマネージャを起動します。

   必要であれば、「プリンタマネージャを起動するには」を参照してください。

6. 「ネットワークプリンタをインストール (Install Network Printer)」を選択します。

7. 「プリンタ名 (Printer Name)」フィールドにプリンタ名を入力します。この名前は、hosts(4) ファイルや NIS+ テーブルで割り当てられているプリンタ名でも、そのプリンタの別名でもかまいません。

8. 「あて先 (Destination)」フィールドにプリンタのホスト名または IP アドレスを入力します。

9. 「了解 (OK)」をクリックして、変更を保存し、プリンタマネージャを閉じます。

Trusted Solaris プリンタサーバに接続されたプリンタにラベル範囲制限を設定するには

1. セキュリティ管理者役割になって、ADMIN_LOW ワークスペースに移動します。

   必要があれば、「ログイン後、特定の管理役割になるには」を参照してください。

2. デバイス割り当てマネージャを起動します。

   トラステッドパス (TP) メニューの「デバイスを割り当てる (Allocate Device)」オプションを選択するか、またはフロントパネルの「トラステッド・デスクトップ」サブパネルから「デバイス割り当てマネージャ (Device Allocation Manager)」を起動します。

3. 「デバイスの管理 (Device Administration)」ボタンをクリックし、デバイス割り当てマネージャの「管理 (Administration)」ダイアログボックスを表示します。

4. 「デバイス (Device)」リスト上で、新しいプリンタの名前を選択します。

5. 「構成 (Configure)」ボタンをクリックし、デバイス割り当てマネージャの「構成 (Configuration)」ダイアログボックスを表示します。次の図を参照してください。

   

6. 必要に応じて、「最下位のラベル (Min Label)」および「最上位のラベル (Max Label)」をクリックして目的のラベル範囲に変更し、ラベルビルダーを使用して目的の機密ラベルを選択します。

7. 「構成 (Configuration)」ダイアログボックスの「了解 (OK)」をクリックして、ラベルの変更を保存し、「管理 (Administration)」ダイアログボックスの「了解 (OK)」をクリックして、ダイアログボックスを閉じます。次に、デバイス割り当てマネージャを終了します。

リモートプリンタへのアクセスを追加するには

1. リモートプリンタへの印刷が設定されているローカルホスト上でプリンタマネージャを起動します。

   必要があれば、「プリンタマネージャを起動するには」を参照してください。

   ---

   注 -

   印刷サーバーを構成するときにネーミングサービスとして NIS+ が指定されている場合、ドメイン内の NIS+ クライアントではこの手順は必要ありません。

   ---

2. 次の図のように、「編集 (Edit)」メニューの「プリンタへのアクセスの追加 (Add Access to Printer)」を選択します。

   

   プリンタマネージャの「プリンタへのアクセスの追加 (Add Access to Printer)」ダイアログボックス が表示されます。

   

3. ローカルホストからリモートプリンタへのアクセスを指定します。

   1. 「プリンタ名 (Printer Name)」フィールドにリモートプリンタの名前を入力します。

      ---

      注 -

      スタンドアロンのネットワークプリンタを指定するときは、データベースマネージャを使ってプリンタをホストとして構成し、tnrhdb(4) ファイル内でホスト名にラベルなしホストタイプのテンプレートを割り当てます。

      ---

      スタンドアロンのプリンタ名を「プリンタ名 (Printer Name)」フィールドと「印刷サーバー (Print Server)」フィールドの両方に入力します。

      ---

      注 -

      スタンドアロンのネットワークプリンタまたは Trusted Solaris 以外のホストに送信できるのは、そのプリンタまたはホストに割り当てられている、 tnrhtp(4) 内のテンプレートで指定されたラベルのジョブだけです。

      ---

   2. 「印刷サーバー (Print Server)」フィールドに印刷サーバーの名前を入力します。

   3. 「説明 (Description)」フィールドに説明を入力します (オプション)。

   4. 「デフォルトプリンタ (Default Printer)」チェックボックスをオンにします (オプション)。

   5. 「了解 (OK)」をクリックします。変更内容が保存され、ダイアログボックスが閉じます。

4. 必要に応じて、リモート印刷クライアント用のプリンタへのアクセスを指定します。

   1. 「追加 (Add)」および「削除 (Delete)」ボタンの上のフィールドに、リモート印刷クライアントの名前を入力します。

   2. 「プリンタ名 (Printer Name)」フィールドにプリンタの名前を入力します。

   3. 「印刷サーバー (Print Server)」フィールドに印刷サーバーの名前を入力します。

   4. 「構成 (Description)」フィールドに説明を入力します (オプション)。

   5. 「デフォルトプリンタ (Default Printer)」チェックボックスをオンにします (オプション)。

   6. 「追加 (Add)」ボタンをクリックし、印刷クライアントの名前をリストに追加します。

      処理が終了したら次の手順に進みます。さらにクライアントを追加するときは、手順 a に戻ります。

   7. 「了解 (OK)」をクリックし、変更内容を保存して、ダイアログボックスを閉じます。

特定のユーザーにバナーとトレーラのないジョブの印刷を許可する

---

注意 -

プリンタマネージャの「常にバナーを印刷 (Always Print Banner)」チェックボックスがオンになっている場合、「バナーなしで印刷」承認を持つユーザーが lp に -o nobanner オプションを使用しても、バナーページとトレーラページは常に印刷されます。

---

1. 印刷サーバー上でプリンタマネージャを起動します。

   必要があれば、「プリンタマネージャを起動するには」を参照してください。

2. プリンタマネージャの「常にバナーを印刷 (Always Print Banner)」チェックボックスがオフになっていることを確認します。

   

3. プリンタマネージャを終了します。

4. バナーとトレーラページなしで印刷することを許可されている各ユーザーまたは役割に割り当てられているプロファイルに「バナーなしで印刷」承認が含まれていることを確認します。

   必要に応じて、「アカウントに印刷関連の承認を割り当てるには」を参照してください。

5. ユーザーまたは役割がジョブを投入するときは、必ず -o nobanner オプションを指定して lp を実行します。

   trustworthy% lp -o nobanner staff.mtg.notes

アカウントに印刷関連の承認を割り当てるには

1. セキュリティ管理者役割になります。

   必要があれば、「ログイン後、特定の管理役割になるには」を参照してください。

2. ユーザーマネージャを起動します。

   必要があれば、「管理アプリケーションを起動するには」を参照してください。さらに、このマニュアルの第 5 章「ユーザーマネージャを使ったアカウントの設定」を参照してください。

3. 「プロファイル」ボタンをクリックして、「プロファイル」ダイアログボックスを開きます。

   1. 必要な印刷関連承認がユーザーの実行プロファイルの 1 つに含まれていることを確認してください。

   2. 必要に応じて、印刷関連の承認が含まれているプロファイルを「利用可能」リストに移動します。

      必要に応じて、表 14-2を参照してください。

      デフォルトが変更されていなければ、ユーザーのプロファイルリスト内に上記のプロファイルを 1 つ組み込むことで、そのユーザーに概当する承認が与えられます。

      ---

      注 -

      デフォルトの実行プロファイルに適切なものがない場合、セキュリティ管理者は、必要な印刷関連承認を含めた新しいプロファイルを作成することができます。このとき、承認だけを使用して作成することも、プロファイルのユーザーが目的の作業を行うために必要な他のコマンド (たとえば、lp や lpadminなど) を付加して作成することもできます。新しいプロファイルの作成方法については、このマニュアルの第 8 章「ユーザーおよび役割のための実行プロファイルの管理」で説明しています。

      ---

   3. 「プロファイル」ダイアログボックスの最下部の「適用」または「了解」ボタンをクリックして変更内容を保存します。

      「適用」をクリックすると変更が保存されます。ダイアログボックスが表示された状態のままで「了解」をクリックすると変更が保存され、ダイアログボックスが閉じます。

   4. ユーザーマネージャの「ナビゲータ」ダイアログボックスの「完了」または「保存」をクリックします。

4. ユーザーマネージャの「ファイル」メニューから「終了」オプションを選択して、すべてのユーザーマネージャのウィンドウを閉じます。

すべての印刷ジョブでページラベルの印刷を抑制するには

1. セキュリティ管理者役割になります。

   必要があれば、「ログイン後、特定の管理役割になるには」を参照してください。

2. 「管理用エディタ」アクションを使って、編集のために/usr/lib/lp/postscript/tsol_separator.ps ファイルを開きます。

   必要があれば、「管理用エディタアクションを使用してファイルを編集するには」を参照してください。

3. 次の行を探します。

   %% To eliminate page labels completely, change this line to %% set the page label to an empty string: /PageLabel () def %% To eliminate page labels completely, change this line to %% set the page label to an empty string: /PageLabel () def /PageLabel Job_PageLabel def

   ---

   注 -

   「Job_PageLabel」の値は、サイトによって変更されている可能性があります。

   ---

4. /PageLabel の値を空の括弧と置き換えます。

   %% To eliminate page labels completely, change this line to %% set the page label to an empty string: /PageLabel () def %% To eliminate page labels completely, change this line to %% set the page label to an empty string: /PageLabel () def /PageLabel () def

特定のユーザーにページラベルなしの印刷ジョブを許可するには

1. 各ページの最上部と最下部のラベルなしで印刷することを許可されている各ユーザーまたは役割に割り当てられているプロファイルに「ラベルなしで印刷」承認が含まれていることを確認します。

   必要に応じて、「アカウントに印刷関連の承認を割り当てるには」を参照してください。

2. ユーザーまたは役割がジョブを投入するときは、必ず -o nolabels オプションを指定して lp を実行します。

   trustworthy% lp -o nolabels staff.mtg.notes

   この処理を行うことにより、承認を持つユーザーまたは役割は、どの機密ラベルで作業を行なっているときでも、ラベルなしでジョブを印刷できるようになります。

ラベルなしの印刷サーバーから公開印刷ジョブを設定するには

1. Solaris 印刷サーバーを定義する tnrhdb ならびに tnrhtp エントリで、一般に公開できるファイルを識別する機密ラベルを印刷サーバーに割り当てます。

   たとえば、あるサイトでは、一般に公開できるファイルに PUBLIC または UNCLASSIFIED というラベルを付けることができます。

2. ページラベルなしで公開ファイルを印刷することが許可されたユーザーまたは役割ごとに、以下の 3 つの手順を実行します。

   1. 一般公開できることを示すラベル (公開ラベルと呼びます) が、各アカウントに割り当てられている機密ラベルの範囲内にあることを確認します。

   2. 公開ラベルを持つユーザーのホームディレクトリ SLD に PRINTE 変数を定義する方法を個々のユーザーに指示します。

      1. 公開ラベルを持つホームディレクトリ SLD に移動します。

      2. .login ファイルまたは .profile を開き、編集します。

      3. PRINTER 変数に Solaris 印刷サーバーに接続されているプリンタの名前を定義します。

         nolabels という名前のプリンタが、PUBLIC というラベルの付いた単一ラベル印刷サーバーに接続されているときは、PUBLIC SLD ディレクトリの .login または、.profile ファイルには、以下の環境変数が定義されています。

         setenv PRINTER nolabels

      4. ファイルを保存して、処理を終了します。

   3. 他のすべての SLD に PRINTER 変数を定義する方法を個々のユーザーに指示します。作業を行う残りの SLD に関して、個々に以下の処理を行うように指示します。

      1. ホームディレクトリ SLD に移動します。

      2. .login または .profile ファイルを開き、編集します。

      3. PRINTER 変数に Trusted Solaris 印刷サーバーに接続されているプリンタの名前を定義します。

      4. ファイルを保存して、処理を終了します。

   4. 作業を行なった各アカウントは、ログアウトして、再度ログインし、変更したプリンタ定義を有効にします。

   5. 作業を行なった各アカウントは、一般公開できるラベルの SLD からラベルなしの印刷をするジョブを作成し、印刷を行います。