test

Oracle Solaris Trusted Extensions 管理の手順

Trusted Extensions の印刷制限の引き下げ (作業マップ)

以下のタスクは省略可能です。これらの手順では、Trusted Extensions のインストール時にデフォルトで設定される印刷のセキュリティーを引き下げます。

作業 

説明 

参照先 

出力にラベルを付けないようプリンタを構成します。 

本文ページにセキュリティー情報が印刷されないようにし、バナーページとトレーラページを削除します。 

「印刷出力からラベルを削除する」

シングルラベルでのプリンタをラベルなし出力に構成します。 

特定のラベルで Solaris のプリンタに出力できるようにします。印刷ジョブはラベルでマークされません。 

「ラベルなしのプリンタサーバーにラベルを割り当てる」

本文ページの表示可能なラベルを削除します。 

tsol_separator.ps ファイルを修正して、Trusted Extensions ホストから送信されるすべての印刷ジョブで、本文ページにラベルを付けないようにします。

「すべての印刷ジョブからページラベルを削除する」

バナーページとトレーラページを抑制します。 

特定のユーザーに、バナーページとトレーラページのないジョブの印刷を許可します。 

「特定のユーザーに対してバナーページとトレーラページを抑制する」

信頼できるユーザーにラベルなしのジョブを印刷できるようにします。 

特定のユーザーまたは特定システムのすべてのユーザーに、ラベルなしのジョブの印刷を許可します。 

「特定のユーザーがページラベルを抑制できるようにする」

PostScript ファイルを印刷できるようにします。 

特定のユーザーまたは特定システムのすべてのユーザーに、PostScript ファイルの印刷を許可します。 

「Trusted Extensions でユーザーが PostScript ファイルを印刷できるようにする」

印刷承認を割り当てます。 

ユーザーがデフォルトの印刷制限をバイパスできるようにします。 

「便利な承認のための権利プロファイルを作成する」

policy.conf のデフォルトを修正する」

Procedure印刷出力からラベルを削除する

Trusted Extensions プリンタモデルスクリプトを持たないプリンタは、ラベル付きのバナーページまたはトレーラページを印刷しません。本文ページにもラベルは含まれません。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. 適切なラベルで、次のいずれかの操作を行います。

    • プリンタサーバーから、バナーの印刷を完全に停止します。


      $ lpadmin -p printer -o nobanner=never

      本文ページにはまだラベルが付いたままです。

    • プリンタモデルスクリプトを Solaris スクリプトに設定します。


      $ lpadmin -p printer  \
-m { standard | netstandard | standard_foomatic | netstandard_foomatic }

      印刷出力にはラベルが表示されません。

Procedureラベルなしのプリンタサーバーにラベルを割り当てる

Solaris プリンタサーバーはラベルなしのプリンタサーバーですが、ラベルを割り当てることによって、Trusted Extensions がそのラベルでプリンタにアクセスできるようになります。ラベルなしのプリンタサーバーに接続されているプリンタは、そのプリンタサーバーに割り当てられているラベルでしかジョブを印刷できません。ジョブはラベルまたはトレーラページなしで印刷され、バナーページなしの場合もあります。ジョブがバナーページ付きで印刷される場合でも、そのページにセキュリティー情報は含まれません。

Trusted Extensions システムは、ラベルなしのプリンタサーバーで管理されるプリンタにジョブを送信するように構成することができます。ユーザーは、セキュリティー管理者がプリンタサーバーに割り当てたラベルでは、ラベルなしのプリンタでジョブを印刷できます。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. 適切な有効範囲で Solaris 管理コンソールを開きます。

    詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。

  2. 「システム構成」で「コンピュータとネットワーク」ツールにナビゲートします。

    求められたらパスワードを入力します。

  3. プリンタサーバーにラベルなしテンプレートを割り当てます。

    詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。

    ラベルを選択します。そのラベルで作業しているユーザーは、プリンタサーバーのラベルで Solaris プリンタに印刷ジョブを送信できます。ページはラベル付きで印刷されず、バナーページとトレーラページも印刷ジョブに含まれません。

例 15–2 ラベルなしプリンタへの公共印刷ジョブの送信

不特定多数の人が利用できるファイルは、ラベルなしプリンタでの印刷に適しています。この例では、マーケティングライターが、ページの最上部と最下部にラベルの印刷されない文書を作成しなければなりません。

セキュリティー管理者は、Solaris プリンタサーバーに、ラベルなしホストタイプのテンプレートを割り当てます。テンプレートについては、例 13–6 で説明されています。テンプレートの任意のラベルは PUBLIC です。このプリンタサーバーには、プリンタ pr-nolabel1 が接続されています。PUBLIC ゾーンのユーザーからの印刷ジョブは、ラベルなしで pr-nolabel1 プリンタ上で印刷されます。プリンタの設定によって、ジョブにはバナーページがあることもないこともあります。バナーページにセキュリティー情報は含まれません。

Procedureすべての印刷ジョブからページラベルを削除する

この手順では、Trusted Extensions のプリンタでのすべての印刷ジョブで本文ページにラベルが表示されないようにします。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. /usr/lib/lp/postscript/tsol_separator.ps ファイルを編集します。

    トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

  2. /PageLabel の定義を検索します。

    検索するのは次の行です。


    %% To eliminate page labels completely, change this line to
%% set the page label to an empty string: /PageLabel () def
/PageLabel Job_PageLabel def
    注 –

    Job_PageLabel は、サイトによって異なります。

  3. /PageLabel の値を、1 組の空の括弧に置き換えます。


    /PageLabel () def

Procedure特定のユーザーがページラベルを抑制できるようにする

この手順では、Trusted Extensions プリンタで、承認ユーザーまたは役割が各本文ページの最上部と最下部にラベルのないジョブを印刷できるようにします。ユーザーが作業できるすべてのラベルで、ページラベルが抑制されます。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. ページラベルなしでジョブを印刷できるユーザーを特定します。

  2. これらのユーザーおよび役割に、ページラベルなしでジョブを印刷できるよう許可します。

    「ラベルなしで印刷」承認を含む権利プロファイルを、これらのユーザーおよび役割に割り当てます。詳細は、「便利な承認のための権利プロファイルを作成する」を参照してください。

  3. ユーザーまたは役割に対し、印刷ジョブの送信時に lp コマンドを使用するように指示します。


    % lp -o nolabels staff.mtg.notes

Procedure特定のユーザーに対してバナーページとトレーラページを抑制する

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. 「バナーなしで印刷」承認を含む権利プロファイルを作成します。

    バナーページとトレーラページなしの印刷を許可されている各ユーザーまたは役割に、そのプロファイルを割り当てます。

    詳細は、「便利な承認のための権利プロファイルを作成する」を参照してください。

  2. ユーザーまたは役割に対し、印刷ジョブの送信時に lp コマンドを使用するように指示します。


    % lp -o nobanner staff.mtg.notes

ProcedureTrusted Extensions でユーザーが PostScript ファイルを印刷できるようにする

始める前に

大域ゾーンでセキュリティー管理者役割になります。

  1. 次の 3 つの方法のいずれかで、ユーザーが PostScript ファイルを印刷できるようにします。

    • システムで PostScript 印刷を実行できるようにするには、/etc/default/print ファイルを修正します。

      1. /etc/default/print ファイルを作成または修正します。

        トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

      2. 次のエントリを入力します。


        PRINT_POSTSCRIPT=1

      3. ファイルを保存してエディタを終了します。

    • すべてのユーザーがシステムから PostScript ファイルを印刷できるようにするには、/etc/security/policy.conf ファイルを修正します。

      1. policy.conf ファイルを修正します。

        トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

      2. solaris.print.ps 承認を追加します。


        AUTHS_GRANTED=other-authorizations,solaris.print.ps

      3. ファイルを保存してエディタを終了します。

    • ユーザーまたは役割が任意のシステムから PostScript ファイルを印刷できるようにするには、そのユーザーまたは役割に適切な承認を付与します。

      Print Postscript」承認を含むプロファイルを、これらのユーザーおよび役割に割り当てます。詳細は、「便利な承認のための権利プロファイルを作成する」を参照してください。

例 15–3 Public システムから PostScript 印刷を可能にする

次の例でセキュリティー管理者は、Public システムでの操作を PUBLIC ラベルに限定しています。システムには、興味のあるトピックを開くアイコンもあります。これらのトピックも印刷可能です。

セキュリティー管理者は、システムに /etc/default/print ファイルを作成します。このファイルには、PostScript ファイルの印刷を許可する 1 つのエントリだけがあります。ユーザーに「Print Postscript」承認は不要です。


# vi /etc/default/print

# PRINT_POSTSCRIPT=0
PRINT_POSTSCRIPT=1