Oracle Solaris Trusted Extensions 管理の手順

ラベル付き印刷の構成 (作業マップ)

次の作業マップでは、ラベル付き印刷に関連する一般的な構成手順について説明します。

注 –

プリンタクライアントは、Trusted Extensions のプリンタサーバーのラベル範囲内にあるジョブしか印刷できません。

作業	説明	参照先
大域ゾーンから印刷を構成します。	大域ゾーンでマルチレベルプリンタサーバーを作成します。	「マルチレベルプリンタサーバーとそのプリンタを構成する」
システムのネットワーク用に印刷を構成します。	大域ゾーンでマルチレベルプリンタサーバーを作成し、ラベル付きゾーンでこのプリンタを使用できるようにします。	「Sun Ray クライアント用にネットワークプリンタを構成する方法」
ラベル付きシステムと同じサブネット内のラベルなしシステム用に印刷を構成します。	ラベルなしシステムでネットワークプリンタを使用できるようにします。	「ラベル付きシステムでカスケード印刷を構成する方法」
ラベル付きゾーンから印刷を構成します。	ラベル付きゾーンに、シングルラベルのプリンタサーバーを作成します。	「シングルラベル印刷用にゾーンを構成する」
マルチレベル印刷クライアントを構成します。	Trusted Extensions ホストをプリンタに接続します。	「Trusted Extensions クライアントがプリンタにアクセスできるようにする」
プリンタのラベル範囲を制限します。	Trusted Extensions のプリンタを狭いラベル範囲に制限します。	「プリンタに制限付きのラベル範囲を構成する」

マルチレベルプリンタサーバーとそのプリンタを構成する

Trusted Extensions のプリンタサーバーで管理されるプリンタは、本文ページ、バナーページ、およびトレーラページにラベルを印刷します。このようなプリンタは、プリンタサーバーのラベル範囲内にあるジョブを印刷できます。プリンタサーバーにアクセスできる任意の Trusted Extensions ホストが、サーバーに接続されたプリンタを利用できます。

始める前に

Trusted Extensions ネットワーク用のプリンタサーバーを決定します。このプリンタサーバー上の大域ゾーンで、システム管理者役割である必要があります。

Solaris 管理コンソールを起動します。

詳細は、「Solaris 管理コンソールでローカルシステムを管理する」を参照してください。

「ファイル」ツールボックスを選択します。

ツールボックスのタイトルには、Scope=Files, Policy=TSOL が含まれています。

プリンタサーバーのポート 515/tcp を使用して大域ゾーンを構成し、マルチレベル印刷を可能にします。

ポートを大域ゾーンに追加して、プリンタサーバー用のマルチレベルポート (MLP) を作成します。
1. 「トラステッドネットワークゾーン」ツールにナビゲートします。
2. 「ゾーンの IP アドレスに対する多重レベルポート」で 515/tcp を追加します。
3. 「了解 (OK)」をクリックします。

接続されているすべてのプリンタの特性を定義します。

コマンド行を使用します。印刷マネージャーの GUI は大域ゾーンでは機能しません。
# lpadmin -p printer-name -v /dev/null \ -o protocol=tcp -o dest=printer-IP-address:9100 -T PS -I postscript # accept printer-name # enable printer-name

プリンタサーバーに接続されている各プリンタにプリンタモデルスクリプトを割り当てます。

モデルスクリプトが、指定したプリンタでバナーページとトレーラページをアクティブにします。

スクリプトについては、「プリンタモデルスクリプト」を参照してください。プリンタのドライバ名が Foomatic で始まる場合は、foomatic のモデルスクリプトを 1 つ指定します。1 つの行で次のコマンドを使用します。
$ lpadmin -p printer \ -m { tsol_standard | tsol_netstandard | tsol_standard_foomatic | tsol_netstandard_foomatic }
すべてのプリンタに対して、ADMIN_LOW から ADMIN_HIGH のデフォルトプリンタラベル範囲を使用する場合、ラベル設定はこれで完了です。

印刷を可能にするすべてのラベル付きゾーンで、プリンタを構成します。

プリンタサーバーとして、大域ゾーンの all-zones IP アドレスを使用します。
1. ラベル付きゾーンのゾーンコンソールに root ユーザーとしてログインします。
  # zlogin -C labeled-zone
2. プリンタをゾーンに追加します。
  # lpadmin -p printer-name -s all-zones-IP-address
3. (省略可能) プリンタをデフォルトとして設定します。
  # lpadmin -d printer-name

各ゾーンでプリンタをテストします。

注 –
Solaris 10 7/10 リリース以降、管理ラベルつまり ADMIN_HIGH、ADMIN_LOW のいずれかが付いたファイルでは、印刷時の本文ページに ADMIN_HIGH が印刷されます。label_encodings ファイル内のもっとも高い値のラベルとコンパートメントが、バナーページとトレーラページにラベル付けされます。

root として、および一般ユーザーとして、次の手順を実行します。
1. コマンド行からプレーンファイルを印刷します。
2. StarSuite、ブラウザ、エディタなどのアプリケーションからファイルを印刷します。
3. バナーページ、トレーラページ、およびセキュリティーバナーが正しく印刷されることを確認します。

参照

プリンタラベル範囲を制限する – 「プリンタに制限付きのラベル範囲を構成する」
ラベル付き出力を禁止する – 「Trusted Extensions の印刷制限の引き下げ (作業マップ)」
このゾーンをプリンタサーバーとして使用する – 「Trusted Extensions クライアントがプリンタにアクセスできるようにする」

Sun Ray クライアント用にネットワークプリンタを構成する方法

この手順では、単一の all-zones インタフェースを持つ Sun Ray サーバーに PostScript プリンタを構成します。このサーバーの Sun Ray クライアントのすべてのユーザーがこのプリンタを利用できます。初期構成は大域ゾーンで行われます。大域ゾーンが構成された後、各ラベル付きゾーンがこのプリンタを使用するように構成されます。

始める前に

Trusted CDE のマルチレベルセッションにログインしている必要があります。

大域ゾーンでネットワークプリンタに IP アドレスを割り当てます。

手順については、『System Administration Guide: Printing』の第 5 章「Setting Up Printers by Using LP Print Commands (Tasks)」を参照してください。

Solaris 管理コンソールを起動します。
- 手順については、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。
- Scope=Files, Policy=TSOL ツールボックスを選択し、ログインします。

admin_low テンプレートにプリンタを割り当てます。
1. 「コンピュータとネットワーク」ツールで「セキュリティーテンプレート」をダブルクリックします。
2. admin_low をダブルクリックします。
3. 「テンプレートに割り当てるホスト」タブで、プリンタの IP アドレスを追加します。
  
  詳細は、左側の区画のオンラインヘルプを参照してください。

大域ゾーンの共有インタフェースにプリンタポートを追加します。
1. 「コンピュータとネットワーク」ツールで「トラステッドネットワークゾーン」をダブルクリックします。
2. global をダブルクリックします。
3. 「共有 IP アドレスに対するマルチレベルポート」のリストに、ポート 515、プロトコル tcp を追加します。

Solaris 管理コンソール割り当てがカーネル内にあることを確認します。

# tninfo -h printer-IP-address
   IP address= printer-IP-address
   Template = admin_low

# tninfo -m global
   private: 111/tcp;111/udp;513/tcp;515/tcp;631/tcp;2049/tcp;6000-6050/tcp;
7007/tcp;7010/tcp;7014/tcp;7015/tcp;32771/tcp;32776/ip
   shared: 515/tcp;6000-6050/tcp;7007/tcp;7010/tcp;7014/tcp;7015/tcp

注 –

6055 や 7007 などの追加のプライベートおよび共有マルチレベルポート (MLP) は、Sun Ray の要件に対応しています。

印刷サービスが大域ゾーンで有効になっていることを確認します。
# svcadm enable print/server # svcadm enable rfc1179

システムが netservices limited を使用してインストールされている場合は、プリンタがネットワークにアクセスできるようにします。

rfc1179 サービスは、localhost 以外のアドレスで待機する必要があります。LP サービスは名前付きパイプでのみ待機します。
# inetadm -m svc:/application/print/rfc1179:default bind_addr='' # svcadm refresh rfc1179
注 –
netservices open を実行している場合、前述のコマンドにより「Error: "inetd" property group missing」というエラーが生成されます。

すべてのユーザーが PostScript を印刷できるようにします。

トラステッドエディタで /etc/default/print ファイルを作成し、次の行を追加します。
PRINT_POSTSCRIPT=1
StarSuite や gedit などのアプリケーションでは、PostScript 出力が作成されます。

すべての LP フィルタを印刷サービスに追加します。

大域ゾーンで、次の C-Shell スクリプトを実行します。
csh cd /etc/lp/fd/ foreach a (*.fd) lpfilter -f $a:r -F $a end

大域ゾーンにプリンタを追加します。

コマンド行を使用します。印刷マネージャーの GUI は大域ゾーンでは機能しません。

# lpadmin -p printer-name -v /dev/null -m tsol_netstandard \
-o protocol=tcp -o dest=printer-IP-address:9100 -T PS -I postscript
# accept printer-name
# enable printer-name

(省略可能) プリンタをデフォルトとして設定します。
# lpadmin -d printer-name

各ラベル付きゾーンでプリンタを構成します。

プリンタサーバーとして、大域ゾーンの all-zones IP アドレスを使用します。all-zones NIC が仮想ネットワークインタフェース (virtual network interface、vni) である場合は、-s オプションの引数として vni の IP アドレスを使用します。
1. ラベル付きゾーンのゾーンコンソールに root ユーザーとしてログインします。
  # zlogin -C labeled-zonename
2. プリンタをゾーンに追加します。
  # lpadmin -p printer-name -s global-zone-shared-IP-address
3. (省略可能) プリンタをデフォルトとして設定します。
  # lpadmin -d printer-name

各ゾーンでプリンタをテストします。

注 –
Solaris 10 7/10 リリース以降、管理ラベルつまり ADMIN_HIGH、ADMIN_LOW のいずれかが付いたファイルでは、印刷時の本文ページに ADMIN_HIGH が印刷されます。label_encodings ファイル内のもっとも高い値のラベルとコンパートメントが、バナーページとトレーラページにラベル付けされます。

root として、および一般ユーザーとして、次の手順を実行します。
1. コマンド行からプレーンファイルを印刷します。
2. StarSuite、ブラウザ、エディタなどのアプリケーションからファイルを印刷します。
3. バナーページ、トレーラページ、およびセキュリティーバナーが正しく印刷されることを確認します。

例 15–1 ネットワークプリンタのプリンタステータスの確認

この例では、管理者は大域ゾーンとラベル付きゾーンからネットワークプリンタのステータスを確認します。

global # lpstat -t
    scheduler is running
    system default destination: math-printer
    system for _default: trusted1 (as printer math-printer)
    device for math-printer: /dev/null
    character set
    default accepting requests since Feb 28 00:00 2008
    lex accepting requests since Feb 28 00:00 2008
    printer math-printer is idle. enabled since Feb 28 00:00 2008. available.

Solaris1# lpstat -t
   scheduler is not running
   system default destination: math-printer
   system for _default: 192.168.4.17 (as printer math-printer)
   system for math-printer: 192.168.4.17
   default accepting requests since Feb 28 00:00 2008
   math-printer accepting requests since Feb 28 00:00 2008
   printer _default is idle. enabled since Feb 28 00:00 2008. available.
   printer math-printer is idle. enabled since Feb 28 00:00 2008. available.

ラベル付きシステムでカスケード印刷を構成する方法

カスケード印刷では、Windows デスクトップセッションから Trusted Extensions のラベル付きゾーンインタフェースに印刷することができます。この際、物理インタフェースのゾーン IP アドレスは印刷スプーラとして動作します。物理インタフェースのゾーン IP アドレス上にあるマルチレベルポート (MLP) リスナーは、Trusted Extensions の印刷サブシステムに接続し、適切なラベルヘッダーとトレーラシートを付けてファイルを印刷します。

この手順により、ラベル付きシステムと同じサブネットにあるラベルなしシステムが、ラベル付きネットワークプリンタを使用できるようになります。rfc1179 サービスはカスケード印刷を処理します。カスケード印刷を許可するすべてのラベル付きゾーンでこの手順を実行する必要があります。

始める前に

「Sun Ray クライアント用にネットワークプリンタを構成する方法」の手順を完了しておきます。

ラベル付きゾーンのゾーンコンソールに root ユーザーとしてログインします。
# zlogin -C labeled-zonename

印刷/サーバーサービスで rfc1179 サービスの依存関係を削除します。

labeled-zone # cat <<EOF | svccfg
      select application/print/rfc1179
      delpg lpsched
      end
   EOF

labeled-zone # svcadm refresh application/print/rfc1179

rfc1179 サービスが有効になっていることを確認します。
labeled-zone # svcadm enable rfc1179

ラベル付きゾーンが netservices limited を使用してインストールされている場合は、プリンタがネットワークにアクセスできるようにします。

rfc1179 サービスは、localhost 以外のアドレスで待機する必要があります。LP サービスは名前付きパイプでのみ待機します。
# inetadm -m svc:/application/print/rfc1179:default bind_addr='' # svcadm refresh rfc1179
注 –
netservices open を実行している場合、前述のコマンドにより「Error: "inetd" property group missing」というメッセージが生成されます。

ラベル付きゾーンからカスケード印刷を構成します。
labeled-zone # lpset -n system -a spooling-type=cascade printer-name
このコマンドにより、ゾーンの /etc/printers.conf ファイルが更新されます。

このラベル付きゾーンと同じサブネットにある Solaris システムをテストします。

たとえば、Solaris1 システムをテストします。このシステムは、internal ゾーンと同じサブネットにあります。構成パラメータは次のようになります。

math-printer の IP アドレスは 192.168.4.6 です。
Solaris1 の IP アドレスは 192.168.4.12 です。
internal ゾーンの IP アドレスは 192.168.4.17 です。

Solaris1# uname -a
SunOS Solaris1 Generic_120011-11 sun4u sparc SUNW,Sun-Blade-1000
Solaris1# lpadmin -p math-printer -s 192.168.4.17
Solaris1# lpadmin -d math-printer

Solaris1# lpstat -t
   scheduler is not running
   system default destination: math-printer
   system for _default: 192.168.4.17 (as printer math-printer)
   system for math-printer: 192.168.4.17
   default accepting requests since Feb 28 00:00 2008
   math-printer accepting requests since Feb 28 00:00 2008
   printer _default is idle. enabled since Feb 28 00:00 2008. available.
   printer math-printer is idle. enabled since Feb 28 00:00 2008. available.

lp コマンドをテストします。

Solaris1# lp /etc/hosts
   request id is math-printer-1 (1 file)

StarSuite などのアプリケーションやブラウザから印刷をテストします。

このラベル付きゾーンと同じサブネットにある Windows 2003 サーバーをテストします。
1. Windows サーバーでプリンタを設定します。
  
  「スタート」メニューの「設定」から、「プリンタと FAX」の GUI を使用します。
  
  次のようにプリンタ構成を指定します。
  - 「プリンタのインストール」
  - 「このコンピュータに接続されているローカルプリンタ」
  - 「新しいポートの作成」 – 「Standard TCP/IP Port」
  - 「プリンタ名または IP アドレス」 – 192.168.4.17 (ラベル付きゾーンの IP アドレス)
  - 「ポート名」 – デフォルトをそのまま使用
  - 「ポート情報がさらに必要です」 – デフォルトをそのまま使用
    - 「デバイスの種類」 = 「カスタム」
    - 「設定」 – 「プロトコル」 = 「LPR」
    - 「LPR 設定」 – 「キュー名」 = math-printer (UNIX キュー名)
    - 「LPR バイトカウントを有効にする」
  製造元、モデル、ドライバ、およびほかのプリンタパラメータを指定して、プリンタプロンプトを終了します。

アプリケーションからプリンタを選択して、プリンタをテストします。

たとえば、internal ゾーンと同じサブネットにある winserver システムをテストします。構成パラメータは次のようになります。

math-printer の IP アドレスは 192.168.4.6 です。
winserver の IP アドレスは 192.168.4.200 です。
internal ゾーンの IP アドレスは 192.168.4.17 です。

winserver C:/> ipconfig
Windows IP Configuration
   Ethernet adapter TP-NIC:
      Connection-specific DNS Suffix  . :
      IP Address. . . . . . . . . . . . : 192.168.4.200
      Subnet Mask . . . . . . . . . . . : 255.255.255.0
      Default Gateway . . . . . . . . . : 192.168.4.17

シングルラベル印刷用にゾーンを構成する

始める前に

ゾーンは、大域ゾーンと IP アドレスを共有しないようにします。大域ゾーンで、システム管理者役割になっている必要があります。

ワークスペースを追加します。

詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「特定のラベルのワークスペースを追加する」を参照してください。

新しいワークスペースのラベルを、そのラベルのプリンタサーバーとなるゾーンのラベルに変更します。

詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。

接続するプリンタの特性を定義します。
1. ゾーンのラベルで、印刷マネージャーを起動します。
  
  デフォルトでは、「PPD を使用」チェックボックスにチェックが付いています。システムで、プリンタの適切なドライバが検出されます。
2. (省略可能) 異なるプリンタドライバを指定する場合は、次のようにします。
  1. 「PPD を使用」のチェックを外します。
  2. 異なるドライバを使用するプリンタの製造業者とモデルを定義します。
    
    印刷マネージャーで、最初の 2 つのフィールドに値を入力すると、ドライバ名は印刷マネージャーで決定されます。
    Printer Make manufacturer Printer Model manufacturer-part-number Printer Driver automatically filled in

ゾーンに接続されている各プリンタにプリンタモデルスクリプトを割り当てます。

モデルスクリプトが、指定したプリンタでバナーページとトレーラページをアクティブにします。

スクリプトの選択については、「プリンタモデルスクリプト」を参照してください。プリンタのドライバ名が Foomatic で始まる場合は、foomatic のモデルスクリプトを 1 つ指定します。次のコマンドを使用します。
$ lpadmin -p printer -m model
接続されているプリンタは、そのゾーンのラベルでのみジョブを印刷できます。

プリンタをテストします。

注 –
Solaris 10 7/10 リリース以降、管理ラベルつまり ADMIN_HIGH、ADMIN_LOW のいずれかが付いたファイルでは、印刷時の本文ページに ADMIN_HIGH が印刷されます。label_encodings ファイル内のもっとも高い値のラベルとコンパートメントが、バナーページとトレーラページにラベル付けされます。

root として、および一般ユーザーとして、次の手順を実行します。
1. コマンド行からプレーンファイルを印刷します。
2. StarSuite、ブラウザ、エディタなどのアプリケーションからファイルを印刷します。
3. バナーページ、トレーラページ、およびセキュリティーバナーが正しく印刷されることを確認します。

参照

ラベル付き出力を禁止する – 「Trusted Extensions の印刷制限の引き下げ (作業マップ)」

Trusted Extensions クライアントがプリンタにアクセスできるようにする

初期設定では、プリンタサーバーが構成されているゾーンしかそのプリンタサーバーのプリンタに出力できません。ほかのゾーンおよびほかのシステムについては、システム管理者がそれらのプリンタへのアクセスを明示的に追加する必要があります。次のような場合が考えられます。

大域ゾーンについては、異なるシステムの大域ゾーンに接続されているプリンタへのアクセスを追加します。
ラベル付きゾーンについては、そのシステムの大域ゾーンに接続されているプリンタへのアクセスを追加します。
ラベル付きゾーンについては、同じラベルの遠隔ゾーンが構成されているプリンタへのアクセスを追加します。
ラベル付きゾーンについては、異なるシステムの大域ゾーンに接続されているプリンタへのアクセスを追加します。

始める前に

ラベル範囲またはシングルラベルでプリンタサーバーが構成されており、それに接続されたプリンタが構成されています。詳細は、次を参照してください。

大域ゾーンでシステム管理者役割であるか、その役割になれる必要があります。

システムがプリンタにアクセスできるようにする手順を完了します。
- プリンタサーバーではないシステム上の大域ゾーンが、プリンタアクセスのためにほかのシステムの大域ゾーンを使用するように構成します。
  1. プリンタにアクセスできないシステムで、システム管理者役割になります。
  2. Trusted Extensions のプリンタサーバーに接続されているプリンタへのアクセスを追加します。
    $ lpadmin -s printer
- ラベル付きゾーンが大域ゾーンを使ってプリンタにアクセスできるように構成します。
  1. 役割ワークスペースのラベルを、ラベル付きゾーンのラベルに変更します。
    
    詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。
  2. プリンタへのアクセスを追加します。
    $ lpadmin -s printer
- ラベル付きのゾーンがほかのシステムのラベル付きゾーンを使ってプリンタにアクセスできるようにします。
  
  ゾーンのラベルは同一である必要があります。
  1. プリンタにアクセスできないシステムで、システム管理者役割になります。
  2. 役割ワークスペースのラベルを、ラベル付きゾーンのラベルに変更します。
    
    詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。
  3. 遠隔のラベル付きゾーンのプリンタサーバーに接続されているプリンタへのアクセスを追加します。
    $ lpadmin -s printer
- ラベル付きのゾーンが、ラベルなしプリンタサーバーを使ってプリンタにアクセスできるようにします。
  
  ゾーンのラベルは、プリンタサーバーのラベルと同一である必要があります。
  1. プリンタにアクセスできないシステムで、システム管理者役割になります。
  2. 役割ワークスペースのラベルを、ラベル付きゾーンのラベルに変更します。
    
    詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。
  3. 任意のラベル付きのプリンタサーバーに接続されているプリンタへのアクセスを追加します。
    $ lpadmin -s printer

プリンタをテストします。

Solaris 10 7/10 リリース以降、管理ラベルつまり ADMIN_HIGH、ADMIN_LOW のいずれかが付いたファイルでは、印刷時の本文ページに ADMIN_HIGH が印刷されます。label_encodings ファイル内のもっとも高い値のラベルとコンパートメントが、バナーページとトレーラページにラベル付けされます。

大域ゾーンの root と役割、およびラベル付きゾーンの root、役割、および一般ユーザーに対して印刷が正しく機能することを、すべてのクライアント上でテストします。
1. コマンド行からプレーンファイルを印刷します。
2. StarSuite、ブラウザ、エディタなどのアプリケーションからファイルを印刷します。
3. バナーページ、トレーラページ、およびセキュリティーバナーが正しく印刷されることを確認します。

プリンタに制限付きのラベル範囲を構成する

プリンタのラベル範囲はデフォルトで ADMIN_LOW から ADMIN_HIGH までです。この手順では、Trusted Extensions のプリンタサーバーで制御されるプリンタのラベル範囲を狭めます。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

デバイス割り当てマネージャーを起動します。
- トラステッドパスメニューから「デバイスを割り当てる (Allocate Device)」オプションを選択します。
- Trusted CDE では、フロントパネルの「ツール」サブパネルから「デバイス割り当てマネージャー」アクションを起動します。

「デバイス管理」ボタンをクリックして、「デバイス割り当て」の「管理」ダイアログボックスを開きます。

新しいプリンタの名前を入力します。

システムにプリンタが接続されている場合は、プリンタの名前を検出します。

「構成」ボタンをクリックして、「デバイス割り当て」の「構成」ダイアログボックスを開きます。

プリンタのラベル範囲を変更します。
1. 「最小ラベル」ボタンをクリックして、最小ラベルを変更します。
  
  ラベルビルダーからラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。
2. 「最大ラベル」ボタンをクリックして、最大ラベルを変更します。

変更を保存します。
1. 「構成」ダイアログボックスの「了解」をクリックします。
2. 「管理」ダイアログボックスの「了解」をクリックします。

デバイス割り当てマネージャーを閉じます。