第 15 章 ラベル付き印刷の管理 (手順)

この章では、Solaris Trusted Extensions ソフトウェアを使用してラベル付き印刷を構成する方法について説明します。また、ラベルオプションなしで印刷ジョブを構成する方法も説明します。

• 「ラベル、プリンタ、および印刷」

• 「Trusted Extensions での印刷の管理 (作業マップ)」

• 「ラベル付き印刷の構成 (作業マップ)」

• 「Trusted Extensions の印刷制限の引き下げ (作業マップ)」

ラベル、プリンタ、および印刷

Trusted Extensions ソフトウェアは、ラベルを使用してプリンタへのアクセスを制御します。ラベルは、プリンタへのアクセスと、待ち行列に入った印刷ジョブに関する情報へのアクセスの制御に使用されます。ソフトウェアは、印刷出力のラベル付けも行います。本文ページにラベルが付けられ、必須のバナーページとトレーラページにもラベルが付けられます。バナーページとトレーラページには、取り扱い指示を含めることもできます。

システム管理者は、基本的なプリンタ管理を担当します。セキュリティー管理者役割は、ラベル付き出力の処理方法とラベルも含めてプリンタのセキュリティーを管理します。管理者は Solaris の基本的なプリンタ管理手順に従ったあと、プリンタサーバーとプリンタにラベルを割り当てます。

Trusted Extensions ソフトウェアは、シングルレベルとマルチレベルの両方の印刷をサポートします。マルチレベル印刷は、大域ゾーンでのみ実装されます。大域ゾーンのプリンタサーバーを使用するには、ラベル付きのゾーンに大域ゾーンとは異なるホスト名が付けられている必要があります。ホスト名を区別する 1 つの方法は、ラベル付きゾーンに IP アドレスを割り当てることです。このアドレスは、大域ゾーンの IP アドレスとは別だからです。

Trusted Extensions でのプリンタと印刷ジョブ情報へのアクセス制限

Trusted Extensions ソフトウェアが設定されたシステムのユーザーと役割は、それぞれのセッションのラベルで印刷ジョブを作成します。印刷ジョブは、そのラベルを認識するプリンタでのみ実行できます。ラベルは、プリンタのラベル範囲内になければなりません。

ユーザーと役割は、セッションのラベルと同じラベルを持つ印刷ジョブを表示できます。大域ゾーンでは、役割はゾーンのラベルのほうが優位であるラベルを持つジョブを表示できます。

Trusted Extensions ソフトウェアが設定されたプリンタは、プリンタ出力でラベルを印刷します。ラベルなしのプリンタサーバーで管理されるプリンタは、プリンタ出力でラベルを印刷しません。そのようなプリンタのラベルは、ラベルなしサーバーと同じです。たとえば、Solaris のプリンタサーバーには、LDAP ネームサービスの tnrhdb データベースにある任意のラベルを割り当てることができます。こうすると、ユーザーは Solaris プリンタで、その任意のラベルでジョブを印刷できるようになります。Trusted Extensions のプリンタと同じく、これらの Solaris のプリンタも、プリンタサーバーに割り当てられたラベルで作業しているユーザーからの印刷ジョブだけを受け取ることができます。

ラベル付きプリンタ出力

Trusted Extensions は、本文ページ、バナーページ、およびトレーラページに、セキュリティー情報を印刷します。この情報は、label_encodings ファイルと tsol_separator.ps ファイルから取得されます。

セキュリティー管理者は、次の操作を実行して、ラベル設定のデフォルトを修正し、プリンタ出力に取り扱い指示を追加することができます。

• バナーページとトレーラページのテキストをローカライズまたはカスタマイズする

• 本文ページに、またはバナーページとトレーラページの各フィールドに印刷される代替ラベルを指定する

• テキストまたはラベルの変更、削除

セキュリティー管理者は、出力にラベルを印刷しないプリンタを使用するよう、ユーザーアカウントを構成することもできます。プリンタ出力でバナーやラベルを印刷しないよう選択できる承認を、ユーザーに与えることもできます。

ラベル付きの本文ページ

デフォルトでは、機密保護の格付けが、各本文ページの最上部と最下部に印刷されます。機密保護の格付けは、ジョブラベルの格付けと minimum protect as classification (最小の機密保護の格付け) を比較したときの優位な格付けです。 minimum protect as classification は、label_encodings ファイルに定義されています。

たとえば、ユーザーが Internal Use Only セッションにログインした場合、そのユーザーの印刷ジョブはそのラベルにあります。label_encodings ファイルの minimum protect as classification が Public の場合、本文ページには Internal Use Only ラベルが印刷されます。

図 15–1 本文ページの最上部と最下部に印刷されたジョブのラベル

ラベル付きバナーページとトレーラページ

次の図は、デフォルトのバナーページとデフォルトのトレーラページの相違点を示したものです。引き出し線は、各セクションを示しています。トレーラページでは外側の線が異なります。

印刷ジョブで表示されるテキスト、ラベル、警告は構成可能です。テキストは、ローカライズしたほかの言語に置き換えることもできます。

図 15–2 ラベル付き印刷ジョブの一般的なバナーページ

図 15–3 トレーラページでの違い

次の表に示した信頼できる印刷の諸要素は、/usr/lib/lp/postscript/tsol_separator.ps ファイルを編集することによってセキュリティー管理者が変更できます。

印刷される出力をローカライズまたは国際化する方法は、tsol_separator.ps ファイルのコメントを参照してください。

セキュリティー情報の PostScript 印刷

Trusted Extensions でのラベル付き印刷は、Solaris 印刷からの機能に依存します。Solaris OS では、プリンタモデルスクリプトがバナーページの作成を処理します。ラベル付けを実装するには、まずプリンタモデルスクリプトが印刷ジョブを PostScript ファイルに変換します。次に、PostScript ファイルを操作して本文ページにラベルを挿入し、バナーページとトレーラページを作成します。

Solaris プリンタモデルスクリプトは、PostScript をプリンタ固有の言語に変換することもできます。プリンタが PostScript 入力を受け付ける場合は、Solaris ソフトウェアがジョブをプリンタに送信します。プリンタが PostScript 入力を受け付けない場合は、PostScript 形式がラスターイメージに変換されます。ラスターイメージは、次に適切なプリンタフォーマットに変換されます。

PostScript ソフトウェアはラベル情報の出力に使用されるため、デフォルトではユーザーは PostScript ファイルを印刷できません。この制限のため、知識のある PostScript プログラマでも、プリンタ出力のラベルを修正する PostScript ファイルを作成することができません。

セキュリティー管理者役割は、役割アカウントと信頼できるユーザーに Print Postscript 承認を割り当てることによって、この制限を無効にすることができます。この承認は、そのアカウントがプリンタ出力のラベルを偽造しないと信頼できる場合にのみ割り当てられます。また、ユーザーによる PostScript ファイルの印刷を許可することが、サイトのセキュリティーポリシーと矛盾しないことが必要です。

プリンタモデルスクリプト

プリンタモデルスクリプトを使うと、特定モデルのプリンタでバナーページとトレーラページを印刷できるようになります。Trusted Extensions には 4 つのスクリプトが用意されています。

• tsol_standard - パラレルポート接続されたプリンタなど、直接接続された PostScript プリンタ用

• tsol_netstandard - ネットワークアクセス可能な PostScript プリンタ用

• tsol_standard_foomatic - 直接接続された、PostScript 形式を印刷しないプリンタ用

• tsol_netstandard_foomatic - ネットワークアクセス可能な、PostScript 形式を印刷しないプリンタ用

foomatic スクリプトは、プリンタドライバ名が Foomatic で始まる場合に使用されます。Foomatic ドライバは、PostScript プリンタドライバ (PPD) です。

ラベル付きゾーンにプリンタを追加すると、印刷マネージャーで「PPD を使用」がデフォルトで指定されます。次に、PPD を使用してバナーページとトレーラページがプリンタの言語に変換されます。

追加の変換フィルタ

変換フィルタは、テキストファイルを PostScript 形式に変換します。フィルタのプログラムは、プリンタデーモンにより実行されるトラステッドプログラムです。インストールされているフィルタプログラムによって PostScript 形式に変換されるファイルは、正式なラベルとバナーページおよびトレーラページテキストであると信頼できます。

Solaris ソフトウェアには、サイトで必要な変換フィルタがほとんど用意されています。サイトのシステム管理者役割は、追加のフィルタをインストールすることができます。これらのフィルタは、正式なラベルとバナーページおよびトレーラページを持つものと信頼できます。変換フィルタの追加については、『System Administration Guide: Printing』の第 7 章「Customizing LP Printing Services and Printers (Tasks)」を参照してください。

Trusted Solaris 8 の印刷と Trusted Extensions との相互運用性

互換性のある label_encodings ファイルを持ち、CIPSO テンプレートで相互を識別する Trusted Solaris 8 と Trusted Extensions のシステムは、相互を遠隔印刷に利用することができます。次の表では、印刷できるようにシステムを設定する方法について説明します。デフォルトでは、ユーザーはほかの OS の遠隔印刷サーバー上で印刷ジョブを一覧表示したり、取り消したりできません。任意で、ユーザーにそのような操作の承認を与えることができます。

Trusted Extensions の印刷インタフェース (リファレンス)

Trusted Extensions セキュリティーポリシーに適合するように、次のユーザーコマンドが拡張されています。

• cancel – ジョブを取り消すには、呼び出し元が印刷ジョブのラベルと同等でなければなりません。デフォルトでは、一般ユーザーは自身のジョブしか取り消せません。

• lp – Trusted Extensions によって -o nolabels オプションが追加されます。ユーザーがラベルなしで印刷するには、承認が必要です。同様に、ユーザーが -o nobanner オプションを使用するにも、承認が必要です。

• lpstat – ジョブステータスを取得するには、呼び出し元が印刷ジョブのラベルと同等でなければなりません。デフォルトでは、一般ユーザーは自身の印刷ジョブしか表示できません。

Trusted Extensions のセキュリティーポリシーに適合するように、次の管理コマンドが拡張されています。Solaris OS の場合と同じように、これらのコマンドは Printer Management 権利プロファイルを含む役割でしか実行できません。

• lpmove – ジョブを移動するには、呼び出し元が印刷ジョブのラベルと同等でなければなりません。デフォルトでは、一般ユーザーは自身の印刷ジョブしか移動できません。

• lpadmin – 大域ゾーンでは、このコマンドがすべてのジョブに対して機能します。ラベル付きゾーンの場合、ジョブの表示には呼び出し元が印刷ジョブのラベルよりも優位でなければならず、ジョブの変更にはラベルと同等でなければなりません。

  Trusted Extensions が、-m オプションにプリンタモデルスクリプトを追加します。Trusted Extensions が -o nolabels オプションを追加します。

• lpsched – 大域ゾーンでは、このコマンドが常に成功します。Solaris OS の場合と同じように、印刷サービスの有効化、無効化、起動、または再起動には svcadm コマンドを使用します。ラベル付きゾーンの場合、印刷サービスを変更するには、呼び出し元が印刷サービスのラベルと同等でなければなりません。サービス管理機能については、smf(5)、svcadm(1M)、および svcs(1) のマニュアルページを参照してください。

Trusted Extensions が、solaris.label.print 承認を Printer Management 権利プロファイルに追加します。ラベルなしで本文ページを印刷するには、solaris.print.unlabeled 承認が必要です。

Trusted Extensions での印刷の管理 (作業マップ)

Trusted Extensions で印刷を構成する手順は、Solaris のプリンタ設定のあとに実行します。ラベル付き印刷を管理する主なタスクは、次の作業マップのとおりです。

ラベル付き印刷の構成 (作業マップ)

次の作業マップでは、ラベル付き印刷に関連する一般的な構成手順について説明します。

プリンタクライアントは、Trusted Extensions のプリンタサーバーのラベル範囲内にあるジョブしか印刷できません。

マルチレベルプリンタサーバーとそのプリンタを構成する

Trusted Extensions のプリンタサーバーで管理されるプリンタは、本文ページ、バナーページ、およびトレーラページにラベルを印刷します。このようなプリンタは、プリンタサーバーのラベル範囲内にあるジョブを印刷できます。プリンタサーバーにアクセスできる任意の Trusted Extensions ホストが、サーバーに接続されたプリンタを利用できます。

始める前に

Trusted Extensions ネットワーク用のプリンタサーバーを決定します。このプリンタサーバー上の大域ゾーンで、システム管理者役割である必要があります。

1. Solaris 管理コンソールを起動します。

   詳細は、「Solaris 管理コンソールでローカルシステムを管理する」を参照してください。

2. 「ファイル」ツールボックスを選択します。

   ツールボックスのタイトルには、Scope=Files, Policy=TSOL が含まれています。

3. プリンタサーバーのポート 515/tcp を使用して大域ゾーンを構成し、マルチレベル印刷を可能にします。

   ポートを大域ゾーンに追加して、プリンタサーバー用のマルチレベルポート (MLP) を作成します。

   1. 「トラステッドネットワークゾーン」ツールにナビゲートします。

   2. 「ゾーンの IP アドレスに対する多重レベルポート」で 515/tcp を追加します。

   3. 「了解 (OK)」をクリックします。

4. 接続されているすべてのプリンタの特性を定義します。

   コマンド行を使用します。印刷マネージャーの GUI は大域ゾーンでは機能しません。

   # lpadmin -p printer-name -v /dev/null \ -o protocol=tcp -o dest=printer-IP-address:9100 -T PS -I postscript # accept printer-name # enable printer-name

5. プリンタサーバーに接続されている各プリンタにプリンタモデルスクリプトを割り当てます。

   モデルスクリプトが、指定したプリンタでバナーページとトレーラページをアクティブにします。

   スクリプトについては、「プリンタモデルスクリプト」を参照してください。プリンタのドライバ名が Foomatic で始まる場合は、foomatic のモデルスクリプトを 1 つ指定します。1 つの行で次のコマンドを使用します。

   $ lpadmin -p printer \ -m { tsol_standard | tsol_netstandard | tsol_standard_foomatic | tsol_netstandard_foomatic }

   すべてのプリンタに対して、ADMIN_LOW から ADMIN_HIGH のデフォルトプリンタラベル範囲を使用する場合、ラベル設定はこれで完了です。

6. 印刷を可能にするすべてのラベル付きゾーンで、プリンタを構成します。

   プリンタサーバーとして、大域ゾーンの all-zones IP アドレスを使用します。

   1. ラベル付きゾーンのゾーンコンソールに root ユーザーとしてログインします。

      # zlogin -C labeled-zone

   2. プリンタをゾーンに追加します。

      # lpadmin -p printer-name -s all-zones-IP-address

   3. (省略可能) プリンタをデフォルトとして設定します。

      # lpadmin -d printer-name

7. 各ゾーンでプリンタをテストします。

   ---

   注 –

   Solaris 10 7/10 リリース以降、管理ラベルつまり ADMIN_HIGH、ADMIN_LOW のいずれかが付いたファイルでは、印刷時の本文ページに ADMIN_HIGH が印刷されます。label_encodings ファイル内のもっとも高い値のラベルとコンパートメントが、バナーページとトレーラページにラベル付けされます。

   ---

   root として、および一般ユーザーとして、次の手順を実行します。

   1. コマンド行からプレーンファイルを印刷します。

   2. StarSuite、ブラウザ、エディタなどのアプリケーションからファイルを印刷します。

   3. バナーページ、トレーラページ、およびセキュリティーバナーが正しく印刷されることを確認します。

参照

• プリンタラベル範囲を制限する – 「プリンタに制限付きのラベル範囲を構成する」

• ラベル付き出力を禁止する – 「Trusted Extensions の印刷制限の引き下げ (作業マップ)」

• このゾーンをプリンタサーバーとして使用する – 「Trusted Extensions クライアントがプリンタにアクセスできるようにする」

Sun Ray クライアント用にネットワークプリンタを構成する方法

この手順では、単一の all-zones インタフェースを持つ Sun Ray サーバーに PostScript プリンタを構成します。このサーバーの Sun Ray クライアントのすべてのユーザーがこのプリンタを利用できます。初期構成は大域ゾーンで行われます。大域ゾーンが構成された後、各ラベル付きゾーンがこのプリンタを使用するように構成されます。

始める前に

Trusted CDE のマルチレベルセッションにログインしている必要があります。

1. 大域ゾーンでネットワークプリンタに IP アドレスを割り当てます。

   手順については、『System Administration Guide: Printing』の第 5 章「Setting Up Printers by Using LP Print Commands (Tasks)」を参照してください。

2. Solaris 管理コンソールを起動します。

   • 手順については、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。

   • Scope=Files, Policy=TSOL ツールボックスを選択し、ログインします。

3. admin_low テンプレートにプリンタを割り当てます。

   1. 「コンピュータとネットワーク」ツールで「セキュリティーテンプレート」をダブルクリックします。

   2. admin_low をダブルクリックします。

   3. 「テンプレートに割り当てるホスト」タブで、プリンタの IP アドレスを追加します。

      詳細は、左側の区画のオンラインヘルプを参照してください。

4. 大域ゾーンの共有インタフェースにプリンタポートを追加します。

   1. 「コンピュータとネットワーク」ツールで「トラステッドネットワークゾーン」をダブルクリックします。

   2. global をダブルクリックします。

   3. 「共有 IP アドレスに対するマルチレベルポート」のリストに、ポート 515、プロトコル tcp を追加します。

5. Solaris 管理コンソール 割り当てがカーネル内にあることを確認します。

   # tninfo -h printer-IP-address IP address= printer-IP-address Template = admin_low

   # tninfo -m global private: 111/tcp;111/udp;513/tcp;515/tcp;631/tcp;2049/tcp;6000-6050/tcp; 7007/tcp;7010/tcp;7014/tcp;7015/tcp;32771/tcp;32776/ip shared: 515/tcp;6000-6050/tcp;7007/tcp;7010/tcp;7014/tcp;7015/tcp

   ---

   注 –

   6055 や 7007 などの追加のプライベートおよび共有マルチレベルポート (MLP) は、Sun Ray の要件に対応しています。

   ---

6. 印刷サービスが大域ゾーンで有効になっていることを確認します。

   # svcadm enable print/server # svcadm enable rfc1179

7. システムが netservices limited を使用してインストールされている場合は、プリンタがネットワークにアクセスできるようにします。

   rfc1179 サービスは、localhost 以外のアドレスで待機する必要があります。LP サービスは名前付きパイプでのみ待機します。

   # inetadm -m svc:/application/print/rfc1179:default bind_addr='' # svcadm refresh rfc1179

   ---

   注 –

   netservices open を実行している場合、前述のコマンドにより「Error: "inetd" property group missing」というエラーが生成されます。

   ---

8. すべてのユーザーが PostScript を印刷できるようにします。

   トラステッドエディタで /etc/default/print ファイルを作成し、次の行を追加します。

   PRINT_POSTSCRIPT=1

   StarSuite や gedit などのアプリケーションでは、PostScript 出力が作成されます。

9. すべての LP フィルタを印刷サービスに追加します。

   大域ゾーンで、次の C-Shell スクリプトを実行します。

   csh cd /etc/lp/fd/ foreach a (*.fd) lpfilter -f $a:r -F $a end

10. 大域ゾーンにプリンタを追加します。

    コマンド行を使用します。印刷マネージャーの GUI は大域ゾーンでは機能しません。

    # lpadmin -p printer-name -v /dev/null -m tsol_netstandard \ -o protocol=tcp -o dest=printer-IP-address:9100 -T PS -I postscript # accept printer-name # enable printer-name

11. (省略可能) プリンタをデフォルトとして設定します。

    # lpadmin -d printer-name

12. 各ラベル付きゾーンでプリンタを構成します。

    プリンタサーバーとして、大域ゾーンの all-zones IP アドレスを使用します。all-zones NIC が仮想ネットワークインタフェース (virtual network interface、vni) である場合は、-s オプションの引数として vni の IP アドレスを使用します。

    1. ラベル付きゾーンのゾーンコンソールに root ユーザーとしてログインします。

       # zlogin -C labeled-zonename

    2. プリンタをゾーンに追加します。

       # lpadmin -p printer-name -s global-zone-shared-IP-address

    3. (省略可能) プリンタをデフォルトとして設定します。

       # lpadmin -d printer-name

13. 各ゾーンでプリンタをテストします。

    ---

    注 –

    Solaris 10 7/10 リリース以降、管理ラベルつまり ADMIN_HIGH、ADMIN_LOW のいずれかが付いたファイルでは、印刷時の本文ページに ADMIN_HIGH が印刷されます。label_encodings ファイル内のもっとも高い値のラベルとコンパートメントが、バナーページとトレーラページにラベル付けされます。

    ---

    root として、および一般ユーザーとして、次の手順を実行します。

    1. コマンド行からプレーンファイルを印刷します。

    2. StarSuite、ブラウザ、エディタなどのアプリケーションからファイルを印刷します。

    3. バナーページ、トレーラページ、およびセキュリティーバナーが正しく印刷されることを確認します。

例 15–1 ネットワークプリンタのプリンタステータスの確認

この例では、管理者は大域ゾーンとラベル付きゾーンからネットワークプリンタのステータスを確認します。

global # lpstat -t
    scheduler is running
    system default destination: math-printer
    system for _default: trusted1 (as printer math-printer)
    device for math-printer: /dev/null
    character set
    default accepting requests since Feb 28 00:00 2008
    lex accepting requests since Feb 28 00:00 2008
    printer math-printer is idle. enabled since Feb 28 00:00 2008. available.

Solaris1# lpstat -t
   scheduler is not running
   system default destination: math-printer
   system for _default: 192.168.4.17 (as printer math-printer)
   system for math-printer: 192.168.4.17
   default accepting requests since Feb 28 00:00 2008
   math-printer accepting requests since Feb 28 00:00 2008
   printer _default is idle. enabled since Feb 28 00:00 2008. available.
   printer math-printer is idle. enabled since Feb 28 00:00 2008. available.

ラベル付きシステムでカスケード印刷を構成する方法

カスケード印刷では、Windows デスクトップセッションから Trusted Extensions のラベル付きゾーンインタフェースに印刷することができます。この際、物理インタフェースのゾーン IP アドレスは印刷スプーラとして動作します。物理インタフェースのゾーン IP アドレス上にあるマルチレベルポート (MLP) リスナーは、Trusted Extensions の印刷サブシステムに接続し、適切なラベルヘッダーとトレーラシートを付けてファイルを印刷します。

この手順により、ラベル付きシステムと同じサブネットにあるラベルなしシステムが、ラベル付きネットワークプリンタを使用できるようになります。rfc1179 サービスはカスケード印刷を処理します。カスケード印刷を許可するすべてのラベル付きゾーンでこの手順を実行する必要があります。

始める前に

「Sun Ray クライアント用にネットワークプリンタを構成する方法」の手順を完了しておきます。

1. ラベル付きゾーンのゾーンコンソールに root ユーザーとしてログインします。

   # zlogin -C labeled-zonename

2. 印刷/サーバーサービスで rfc1179 サービスの依存関係を削除します。

   labeled-zone # cat <<EOF | svccfg select application/print/rfc1179 delpg lpsched end EOF

   labeled-zone # svcadm refresh application/print/rfc1179

3. rfc1179 サービスが有効になっていることを確認します。

   labeled-zone # svcadm enable rfc1179

4. ラベル付きゾーンが netservices limited を使用してインストールされている場合は、プリンタがネットワークにアクセスできるようにします。

   rfc1179 サービスは、localhost 以外のアドレスで待機する必要があります。LP サービスは名前付きパイプでのみ待機します。

   # inetadm -m svc:/application/print/rfc1179:default bind_addr='' # svcadm refresh rfc1179

   ---

   注 –

   netservices open を実行している場合、前述のコマンドにより「Error: "inetd" property group missing」というメッセージが生成されます。

   ---

5. ラベル付きゾーンからカスケード印刷を構成します。

   labeled-zone # lpset -n system -a spooling-type=cascade printer-name

   このコマンドにより、ゾーンの /etc/printers.conf ファイルが更新されます。

6. このラベル付きゾーンと同じサブネットにある Solaris システムをテストします。

   たとえば、Solaris1 システムをテストします。このシステムは、internal ゾーンと同じサブネットにあります。構成パラメータは次のようになります。

   • math-printer の IP アドレスは 192.168.4.6 です。

   • Solaris1 の IP アドレスは 192.168.4.12 です。

   • internal ゾーンの IP アドレスは 192.168.4.17 です。

   Solaris1# uname -a SunOS Solaris1 Generic_120011-11 sun4u sparc SUNW,Sun-Blade-1000 Solaris1# lpadmin -p math-printer -s 192.168.4.17 Solaris1# lpadmin -d math-printer Solaris1# lpstat -t scheduler is not running system default destination: math-printer system for _default: 192.168.4.17 (as printer math-printer) system for math-printer: 192.168.4.17 default accepting requests since Feb 28 00:00 2008 math-printer accepting requests since Feb 28 00:00 2008 printer _default is idle. enabled since Feb 28 00:00 2008. available. printer math-printer is idle. enabled since Feb 28 00:00 2008. available.

   • lp コマンドをテストします。

     Solaris1# lp /etc/hosts request id is math-printer-1 (1 file)

   • StarSuite などのアプリケーションやブラウザから印刷をテストします。

7. このラベル付きゾーンと同じサブネットにある Windows 2003 サーバーをテストします。

   1. Windows サーバーでプリンタを設定します。

      「スタート」メニューの「設定」から、「プリンタと FAX」の GUI を使用します。

      次のようにプリンタ構成を指定します。

      • 「プリンタのインストール」

      • 「このコンピュータに接続されているローカルプリンタ」

      • 「新しいポートの作成」 – 「Standard TCP/IP Port」

      • 「プリンタ名または IP アドレス」 – 192.168.4.17 (ラベル付きゾーンの IP アドレス)

      • 「ポート名」 – デフォルトをそのまま使用

      • 「ポート情報がさらに必要です」 – デフォルトをそのまま使用

        • 「デバイスの種類」 = 「カスタム」

        • 「設定」 – 「プロトコル」 = 「LPR」

        • 「LPR 設定」 – 「キュー名」 = math-printer (UNIX キュー名)

        • 「LPR バイトカウントを有効にする」

      製造元、モデル、ドライバ、およびほかのプリンタパラメータを指定して、プリンタプロンプトを終了します。

8. アプリケーションからプリンタを選択して、プリンタをテストします。

   たとえば、internal ゾーンと同じサブネットにある winserver システムをテストします。構成パラメータは次のようになります。

   • math-printer の IP アドレスは 192.168.4.6 です。

   • winserver の IP アドレスは 192.168.4.200 です。

   • internal ゾーンの IP アドレスは 192.168.4.17 です。

   winserver C:/> ipconfig Windows IP Configuration Ethernet adapter TP-NIC: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.4.200 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.4.17

シングルラベル印刷用にゾーンを構成する

始める前に

ゾーンは、大域ゾーンと IP アドレスを共有しないようにします。大域ゾーンで、システム管理者役割になっている必要があります。

1. ワークスペースを追加します。

   詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「特定のラベルのワークスペースを追加する」を参照してください。

2. 新しいワークスペースのラベルを、そのラベルのプリンタサーバーとなるゾーンのラベルに変更します。

   詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。

3. 接続するプリンタの特性を定義します。

   1. ゾーンのラベルで、印刷マネージャーを起動します。

      デフォルトでは、「PPD を使用」チェックボックスにチェックが付いています。システムで、プリンタの適切なドライバが検出されます。

   2. (省略可能) 異なるプリンタドライバを指定する場合は、次のようにします。

      1. 「PPD を使用」のチェックを外します。

      2. 異なるドライバを使用するプリンタの製造業者とモデルを定義します。

         印刷マネージャーで、最初の 2 つのフィールドに値を入力すると、ドライバ名は印刷マネージャーで決定されます。

         Printer Make manufacturer Printer Model manufacturer-part-number Printer Driver automatically filled in

4. ゾーンに接続されている各プリンタにプリンタモデルスクリプトを割り当てます。

   モデルスクリプトが、指定したプリンタでバナーページとトレーラページをアクティブにします。

   スクリプトの選択については、「プリンタモデルスクリプト」を参照してください。プリンタのドライバ名が Foomatic で始まる場合は、foomatic のモデルスクリプトを 1 つ指定します。次のコマンドを使用します。

   $ lpadmin -p printer -m model

   接続されているプリンタは、そのゾーンのラベルでのみジョブを印刷できます。

5. プリンタをテストします。

   ---

   注 –

   Solaris 10 7/10 リリース以降、管理ラベルつまり ADMIN_HIGH、ADMIN_LOW のいずれかが付いたファイルでは、印刷時の本文ページに ADMIN_HIGH が印刷されます。label_encodings ファイル内のもっとも高い値のラベルとコンパートメントが、バナーページとトレーラページにラベル付けされます。

   ---

   root として、および一般ユーザーとして、次の手順を実行します。

   1. コマンド行からプレーンファイルを印刷します。

   2. StarSuite、ブラウザ、エディタなどのアプリケーションからファイルを印刷します。

   3. バナーページ、トレーラページ、およびセキュリティーバナーが正しく印刷されることを確認します。

参照

ラベル付き出力を禁止する – 「Trusted Extensions の印刷制限の引き下げ (作業マップ)」

Trusted Extensions クライアントがプリンタにアクセスできるようにする

初期設定では、プリンタサーバーが構成されているゾーンしかそのプリンタサーバーのプリンタに出力できません。ほかのゾーンおよびほかのシステムについては、システム管理者がそれらのプリンタへのアクセスを明示的に追加する必要があります。次のような場合が考えられます。

• 大域ゾーンについては、異なるシステムの大域ゾーンに接続されているプリンタへのアクセスを追加します。

• ラベル付きゾーンについては、そのシステムの大域ゾーンに接続されているプリンタへのアクセスを追加します。

• ラベル付きゾーンについては、同じラベルの遠隔ゾーンが構成されているプリンタへのアクセスを追加します。

• ラベル付きゾーンについては、異なるシステムの大域ゾーンに接続されているプリンタへのアクセスを追加します。

始める前に

ラベル範囲またはシングルラベルでプリンタサーバーが構成されており、それに接続されたプリンタが構成されています。詳細は、次を参照してください。

• 「マルチレベルプリンタサーバーとそのプリンタを構成する」

• 「シングルラベル印刷用にゾーンを構成する」

• 「ラベルなしのプリンタサーバーにラベルを割り当てる」

大域ゾーンでシステム管理者役割であるか、その役割になれる必要があります。

1. システムがプリンタにアクセスできるようにする手順を完了します。

   • プリンタサーバーではないシステム上の大域ゾーンが、プリンタアクセスのためにほかのシステムの大域ゾーンを使用するように構成します。

     1. プリンタにアクセスできないシステムで、システム管理者役割になります。

     2. Trusted Extensions のプリンタサーバーに接続されているプリンタへのアクセスを追加します。

        $ lpadmin -s printer

   • ラベル付きゾーンが大域ゾーンを使ってプリンタにアクセスできるように構成します。

     1. 役割ワークスペースのラベルを、ラベル付きゾーンのラベルに変更します。

        詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。

     2. プリンタへのアクセスを追加します。

        $ lpadmin -s printer

   • ラベル付きのゾーンがほかのシステムのラベル付きゾーンを使ってプリンタにアクセスできるようにします。

     ゾーンのラベルは同一である必要があります。

     1. プリンタにアクセスできないシステムで、システム管理者役割になります。

     2. 役割ワークスペースのラベルを、ラベル付きゾーンのラベルに変更します。

        詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。

     3. 遠隔のラベル付きゾーンのプリンタサーバーに接続されているプリンタへのアクセスを追加します。

        $ lpadmin -s printer

   • ラベル付きのゾーンが、ラベルなしプリンタサーバーを使ってプリンタにアクセスできるようにします。

     ゾーンのラベルは、プリンタサーバーのラベルと同一である必要があります。

     1. プリンタにアクセスできないシステムで、システム管理者役割になります。

     2. 役割ワークスペースのラベルを、ラベル付きゾーンのラベルに変更します。

        詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。

     3. 任意のラベル付きのプリンタサーバーに接続されているプリンタへのアクセスを追加します。

        $ lpadmin -s printer

2. プリンタをテストします。

   Solaris 10 7/10 リリース以降、管理ラベルつまり ADMIN_HIGH、ADMIN_LOW のいずれかが付いたファイルでは、印刷時の本文ページに ADMIN_HIGH が印刷されます。label_encodings ファイル内のもっとも高い値のラベルとコンパートメントが、バナーページとトレーラページにラベル付けされます。

   大域ゾーンの root と役割、およびラベル付きゾーンの root、役割、および一般ユーザーに対して印刷が正しく機能することを、すべてのクライアント上でテストします。

   1. コマンド行からプレーンファイルを印刷します。

   2. StarSuite、ブラウザ、エディタなどのアプリケーションからファイルを印刷します。

   3. バナーページ、トレーラページ、およびセキュリティーバナーが正しく印刷されることを確認します。

プリンタに制限付きのラベル範囲を構成する

プリンタのラベル範囲はデフォルトで ADMIN_LOW から ADMIN_HIGH までです。この手順では、Trusted Extensions のプリンタサーバーで制御されるプリンタのラベル範囲を狭めます。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. デバイス割り当てマネージャーを起動します。

   • トラステッドパスメニューから「デバイスを割り当てる (Allocate Device)」オプションを選択します。

   • Trusted CDE では、フロントパネルの「ツール」サブパネルから「デバイス割り当てマネージャー」アクションを起動します。

2. 「デバイス管理」ボタンをクリックして、「デバイス割り当て」の 「管理」ダイアログボックスを開きます。

3. 新しいプリンタの名前を入力します。

   システムにプリンタが接続されている場合は、プリンタの名前を検出します。

4. 「構成」ボタンをクリックして、「デバイス割り当て」の 「構成」ダイアログボックスを開きます。

5. プリンタのラベル範囲を変更します。

   1. 「最小ラベル」ボタンをクリックして、最小ラベルを変更します。

      ラベルビルダーからラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。

   2. 「最大ラベル」ボタンをクリックして、最大ラベルを変更します。

6. 変更を保存します。

   1. 「構成」ダイアログボックスの「了解」をクリックします。

   2. 「管理」ダイアログボックスの「了解」をクリックします。

7. デバイス割り当てマネージャーを閉じます。

Trusted Extensions の印刷制限の引き下げ (作業マップ)

以下のタスクは省略可能です。これらの手順では、Trusted Extensions のインストール時にデフォルトで設定される印刷のセキュリティーを引き下げます。

印刷出力からラベルを削除する

Trusted Extensions プリンタモデルスクリプトを持たないプリンタは、ラベル付きのバナーページまたはトレーラページを印刷しません。本文ページにもラベルは含まれません。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. 適切なラベルで、次のいずれかの操作を行います。

   • プリンタサーバーから、バナーの印刷を完全に停止します。

     $ lpadmin -p printer -o nobanner=never

     本文ページにはまだラベルが付いたままです。

   • プリンタモデルスクリプトを Solaris スクリプトに設定します。

     $ lpadmin -p printer \ -m { standard | netstandard | standard_foomatic | netstandard_foomatic }

     印刷出力にはラベルが表示されません。

ラベルなしのプリンタサーバーにラベルを割り当てる

Solaris プリンタサーバーはラベルなしのプリンタサーバーですが、ラベルを割り当てることによって、Trusted Extensions がそのラベルでプリンタにアクセスできるようになります。ラベルなしのプリンタサーバーに接続されているプリンタは、そのプリンタサーバーに割り当てられているラベルでしかジョブを印刷できません。ジョブはラベルまたはトレーラページなしで印刷され、バナーページなしの場合もあります。ジョブがバナーページ付きで印刷される場合でも、そのページにセキュリティー情報は含まれません。

Trusted Extensions システムは、ラベルなしのプリンタサーバーで管理されるプリンタにジョブを送信するように構成することができます。ユーザーは、セキュリティー管理者がプリンタサーバーに割り当てたラベルでは、ラベルなしのプリンタでジョブを印刷できます。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. 適切な有効範囲で Solaris 管理コンソールを開きます。

   詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。

2. 「システム構成」で「コンピュータとネットワーク」ツールにナビゲートします。

   求められたらパスワードを入力します。

3. プリンタサーバーにラベルなしテンプレートを割り当てます。

   詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。

   ラベルを選択します。そのラベルで作業しているユーザーは、プリンタサーバーのラベルで Solaris プリンタに印刷ジョブを送信できます。ページはラベル付きで印刷されず、バナーページとトレーラページも印刷ジョブに含まれません。

例 15–2 ラベルなしプリンタへの公共印刷ジョブの送信

不特定多数の人が利用できるファイルは、ラベルなしプリンタでの印刷に適しています。この例では、マーケティングライターが、ページの最上部と最下部にラベルの印刷されない文書を作成しなければなりません。

セキュリティー管理者は、Solaris プリンタサーバーに、ラベルなしホストタイプのテンプレートを割り当てます。テンプレートについては、例 13–6 で説明されています。テンプレートの任意のラベルは PUBLIC です。このプリンタサーバーには、プリンタ pr-nolabel1 が接続されています。PUBLIC ゾーンのユーザーからの印刷ジョブは、ラベルなしで pr-nolabel1 プリンタ上で印刷されます。プリンタの設定によって、ジョブにはバナーページがあることもないこともあります。バナーページにセキュリティー情報は含まれません。

すべての印刷ジョブからページラベルを削除する

この手順では、Trusted Extensions のプリンタでのすべての印刷ジョブで本文ページにラベルが表示されないようにします。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. /usr/lib/lp/postscript/tsol_separator.ps ファイルを編集します。

   トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

2. /PageLabel の定義を検索します。

   検索するのは次の行です。

   %% To eliminate page labels completely, change this line to %% set the page label to an empty string: /PageLabel () def /PageLabel Job_PageLabel def

   ---

   注 –

   値 Job_PageLabel は、サイトによって異なります。

   ---

3. /PageLabel の値を、1 組の空の括弧に置き換えます。

   /PageLabel () def

特定のユーザーがページラベルを抑制できるようにする

この手順では、Trusted Extensions プリンタで、承認ユーザーまたは役割が各本文ページの最上部と最下部にラベルのないジョブを印刷できるようにします。ユーザーが作業できるすべてのラベルで、ページラベルが抑制されます。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. ページラベルなしでジョブを印刷できるユーザーを特定します。

2. これらのユーザーおよび役割に、ページラベルなしでジョブを印刷できるよう許可します。

   「ラベルなしで印刷」承認を含む権利プロファイルを、これらのユーザーおよび役割に割り当てます。詳細は、「便利な承認のための権利プロファイルを作成する」を参照してください。

3. ユーザーまたは役割に対し、印刷ジョブの送信時に lp コマンドを使用するように指示します。

   % lp -o nolabels staff.mtg.notes

特定のユーザーに対してバナーページとトレーラページを抑制する

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. 「バナーなしで印刷」承認を含む権利プロファイルを作成します。

   バナーページとトレーラページなしの印刷を許可されている各ユーザーまたは役割に、そのプロファイルを割り当てます。

   詳細は、「便利な承認のための権利プロファイルを作成する」を参照してください。

2. ユーザーまたは役割に対し、印刷ジョブの送信時に lp コマンドを使用するように指示します。

   % lp -o nobanner staff.mtg.notes

Trusted Extensions でユーザーが PostScript ファイルを印刷できるようにする

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. 次の 3 つの方法のいずれかで、ユーザーが PostScript ファイルを印刷できるようにします。

   • システムで PostScript 印刷を実行できるようにするには、/etc/default/print ファイルを修正します。

     1. /etc/default/print ファイルを作成または修正します。

        トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

     2. 次のエントリを入力します。

        PRINT_POSTSCRIPT=1

     3. ファイルを保存してエディタを終了します。

   • すべてのユーザーがシステムから PostScript ファイルを印刷できるようにするには、/etc/security/policy.conf ファイルを修正します。

     1. policy.conf ファイルを修正します。

        トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

     2. solaris.print.ps 承認を追加します。

        AUTHS_GRANTED=other-authorizations,solaris.print.ps

     3. ファイルを保存してエディタを終了します。

   • ユーザーまたは役割が任意のシステムから PostScript ファイルを印刷できるようにするには、そのユーザーまたは役割に適切な承認を付与します。

     「Print Postscript」承認を含むプロファイルを、これらのユーザーおよび役割に割り当てます。詳細は、「便利な承認のための権利プロファイルを作成する」を参照してください。

例 15–3 Public システムから PostScript 印刷を可能にする

次の例でセキュリティー管理者は、Public システムでの操作を PUBLIC ラベルに限定しています。システムには、興味のあるトピックを開くアイコンもあります。これらのトピックも印刷可能です。

セキュリティー管理者は、システムに /etc/default/print ファイルを作成します。このファイルには、PostScript ファイルの印刷を許可する 1 つのエントリだけがあります。ユーザーに「Print Postscript」承認は不要です。

# vi /etc/default/print

# PRINT_POSTSCRIPT=0
PRINT_POSTSCRIPT=1