この章では、Solaris Trusted Extensions ソフトウェアを使用してラベル付き印刷を構成する方法について説明します。また、ラベルオプションなしで印刷ジョブを構成する方法も説明します。
Trusted Extensions ソフトウェアは、ラベルを使用してプリンタへのアクセスを制御します。ラベルは、プリンタへのアクセスと、待ち行列に入った印刷ジョブに関する情報へのアクセスの制御に使用されます。ソフトウェアは、印刷出力のラベル付けも行います。本文ページにラベルが付けられ、必須のバナーページとトレーラページにもラベルが付けられます。バナーページとトレーラページには、取り扱い指示を含めることもできます。
システム管理者は、基本的なプリンタ管理を担当します。セキュリティー管理者役割は、ラベル付き出力の処理方法とラベルも含めてプリンタのセキュリティーを管理します。管理者は Solaris の基本的なプリンタ管理手順に従ったあと、プリンタサーバーとプリンタにラベルを割り当てます。
Trusted Extensions ソフトウェアは、シングルレベルとマルチレベルの両方の印刷をサポートします。マルチレベル印刷は、大域ゾーンでのみ実装されます。大域ゾーンのプリンタサーバーを使用するには、ラベル付きのゾーンに大域ゾーンとは異なるホスト名が付けられている必要があります。ホスト名を区別する 1 つの方法は、ラベル付きゾーンに IP アドレスを割り当てることです。このアドレスは、大域ゾーンの IP アドレスとは別だからです。
Trusted Extensions ソフトウェアが設定されたシステムのユーザーと役割は、それぞれのセッションのラベルで印刷ジョブを作成します。印刷ジョブは、そのラベルを認識するプリンタでのみ実行できます。ラベルは、プリンタのラベル範囲内になければなりません。
ユーザーと役割は、セッションのラベルと同じラベルを持つ印刷ジョブを表示できます。大域ゾーンでは、役割はゾーンのラベルのほうが優位であるラベルを持つジョブを表示できます。
Trusted Extensions ソフトウェアが設定されたプリンタは、プリンタ出力でラベルを印刷します。ラベルなしのプリンタサーバーで管理されるプリンタは、プリンタ出力でラベルを印刷しません。そのようなプリンタのラベルは、ラベルなしサーバーと同じです。たとえば、Solaris のプリンタサーバーには、LDAP ネームサービスの tnrhdb データベースにある任意のラベルを割り当てることができます。こうすると、ユーザーは Solaris プリンタで、その任意のラベルでジョブを印刷できるようになります。Trusted Extensions のプリンタと同じく、これらの Solaris のプリンタも、プリンタサーバーに割り当てられたラベルで作業しているユーザーからの印刷ジョブだけを受け取ることができます。
Trusted Extensions は、本文ページ、バナーページ、およびトレーラページに、セキュリティー情報を印刷します。この情報は、label_encodings ファイルと tsol_separator.ps ファイルから取得されます。
セキュリティー管理者は、次の操作を実行して、ラベル設定のデフォルトを修正し、プリンタ出力に取り扱い指示を追加することができます。
バナーページとトレーラページのテキストをローカライズまたはカスタマイズする
本文ページに、またはバナーページとトレーラページの各フィールドに印刷される代替ラベルを指定する
テキストまたはラベルの変更、削除
セキュリティー管理者は、出力にラベルを印刷しないプリンタを使用するよう、ユーザーアカウントを構成することもできます。プリンタ出力でバナーやラベルを印刷しないよう選択できる承認を、ユーザーに与えることもできます。
デフォルトでは、機密保護の格付けが、各本文ページの最上部と最下部に印刷されます。機密保護の格付けは、ジョブラベルの格付けと minimum protect as classification (最小の機密保護の格付け) を比較したときの優位な格付けです。 minimum protect as classification は、label_encodings ファイルに定義されています。
たとえば、ユーザーが Internal Use Only セッションにログインした場合、そのユーザーの印刷ジョブはそのラベルにあります。label_encodings ファイルの minimum protect as classification が Public の場合、本文ページには Internal Use Only ラベルが印刷されます。
次の図は、デフォルトのバナーページとデフォルトのトレーラページの相違点を示したものです。引き出し線は、各セクションを示しています。トレーラページでは外側の線が異なります。
印刷ジョブで表示されるテキスト、ラベル、警告は構成可能です。テキストは、ローカライズしたほかの言語に置き換えることもできます。
次の表に示した信頼できる印刷の諸要素は、/usr/lib/lp/postscript/tsol_separator.ps ファイルを編集することによってセキュリティー管理者が変更できます。
印刷される出力をローカライズまたは国際化する方法は、tsol_separator.ps ファイルのコメントを参照してください。
出力 |
デフォルト値 |
定義の方法 |
変更の方法 |
---|---|---|---|
PRINTER BANNERS |
/Caveats Job_Caveats |
/Caveats Job_Caveats | |
CHANNELS |
/Channels Job_Channels |
/Channels Job_Channels | |
バナーページとトレーラページの最上部のラベル |
/HeadLabel Job_Protect def |
/PageLabel の説明を参照してください。 |
/PageLabel の変更と同じ。 |
本文ページの最上部と最下部のラベル |
/PageLabel Job_Protect def |
ジョブのラベルと、label_encodings ファイルのminimum protect as classification とを比較します。より優位な格付けを印刷します。 印刷ジョブのラベルにコンパートメントがある場合にコンパートメントを追加します。 |
/PageLabel 定義を変更してほかの値を指定します。 または、任意の文字列を入力します。 または、何も印刷しません。 |
機密保護の格付けの文のテキストとラベル |
/Protect Job_Protect def /Protect_Text1 () def /Protect_Text2 () def |
/PageLabel の説明を参照してください。 ラベルの上に表示されるテキスト。 ラベルの下に表示されるテキスト。 |
/PageLabel の変更と同じ。 Protect_Text1 と Protect_Text2 の () をテキスト文字列で置き換えます。 |
Trusted Extensions でのラベル付き印刷は、Solaris 印刷からの機能に依存します。Solaris OS では、プリンタモデルスクリプトがバナーページの作成を処理します。ラベル付けを実装するには、まずプリンタモデルスクリプトが印刷ジョブを PostScript ファイルに変換します。次に、PostScript ファイルを操作して本文ページにラベルを挿入し、バナーページとトレーラページを作成します。
Solaris プリンタモデルスクリプトは、PostScript をプリンタ固有の言語に変換することもできます。プリンタが PostScript 入力を受け付ける場合は、Solaris ソフトウェアがジョブをプリンタに送信します。プリンタが PostScript 入力を受け付けない場合は、PostScript 形式がラスターイメージに変換されます。ラスターイメージは、次に適切なプリンタフォーマットに変換されます。
PostScript ソフトウェアはラベル情報の出力に使用されるため、デフォルトではユーザーは PostScript ファイルを印刷できません。この制限のため、知識のある PostScript プログラマでも、プリンタ出力のラベルを修正する PostScript ファイルを作成することができません。
セキュリティー管理者役割は、役割アカウントと信頼できるユーザーに Print Postscript 承認を割り当てることによって、この制限を無効にすることができます。この承認は、そのアカウントがプリンタ出力のラベルを偽造しないと信頼できる場合にのみ割り当てられます。また、ユーザーによる PostScript ファイルの印刷を許可することが、サイトのセキュリティーポリシーと矛盾しないことが必要です。
プリンタモデルスクリプトを使うと、特定モデルのプリンタでバナーページとトレーラページを印刷できるようになります。Trusted Extensions には 4 つのスクリプトが用意されています。
tsol_standard - パラレルポート接続されたプリンタなど、直接接続された PostScript プリンタ用
tsol_netstandard - ネットワークアクセス可能な PostScript プリンタ用
tsol_standard_foomatic - 直接接続された、PostScript 形式を印刷しないプリンタ用
tsol_netstandard_foomatic - ネットワークアクセス可能な、PostScript 形式を印刷しないプリンタ用
foomatic スクリプトは、プリンタドライバ名が Foomatic で始まる場合に使用されます。Foomatic ドライバは、PostScript プリンタドライバ (PPD) です。
ラベル付きゾーンにプリンタを追加すると、印刷マネージャーで「PPD を使用」がデフォルトで指定されます。次に、PPD を使用してバナーページとトレーラページがプリンタの言語に変換されます。
変換フィルタは、テキストファイルを PostScript 形式に変換します。フィルタのプログラムは、プリンタデーモンにより実行されるトラステッドプログラムです。インストールされているフィルタプログラムによって PostScript 形式に変換されるファイルは、正式なラベルとバナーページおよびトレーラページテキストであると信頼できます。
Solaris ソフトウェアには、サイトで必要な変換フィルタがほとんど用意されています。サイトのシステム管理者役割は、追加のフィルタをインストールすることができます。これらのフィルタは、正式なラベルとバナーページおよびトレーラページを持つものと信頼できます。変換フィルタの追加については、『System Administration Guide: Printing』の第 7 章「Customizing LP Printing Services and Printers (Tasks)」を参照してください。
互換性のある label_encodings ファイルを持ち、CIPSO テンプレートで相互を識別する Trusted Solaris 8 と Trusted Extensions のシステムは、相互を遠隔印刷に利用することができます。次の表では、印刷できるようにシステムを設定する方法について説明します。デフォルトでは、ユーザーはほかの OS の遠隔印刷サーバー上で印刷ジョブを一覧表示したり、取り消したりできません。任意で、ユーザーにそのような操作の承認を与えることができます。
元のシステム |
プリンタサーバーシステム |
動作 |
結果 |
---|---|---|---|
Trusted Extensions |
Trusted Solaris 8 |
印刷の構成 – Trusted Extensions の tnrhdb で、適切なラベル範囲を持つテンプレートを Trusted Solaris 8 のプリンタサーバーに割り当てます。ラベルは、CIPSO またはラベルなしのいずれかです。 |
Trusted Solaris 8 のプリンタは、プリンタのラベル範囲内で、Trusted Extensions システムからのジョブを印刷できます。 |
Trusted Extensions |
Trusted Solaris 8 |
ユーザーの承認 – Trusted Extensions システムで、必要な承認を追加するプロファイルを作成します。そのプロファイルをユーザーに割り当てます。 |
Trusted Extensions ユーザーは、Trusted Solaris 8 のプリンタに送信する印刷ジョブを一覧表示したり、取り消したりできます。 ユーザーは、異なるラベルのジョブを表示したり削除したりできません。 |
Trusted Solaris 8 |
Trusted Extensions |
印刷の構成 – Trusted Solaris 8 の tnrhdb で、適切なラベル範囲を持つテンプレートを Trusted Extensions のプリンタサーバーに割り当てます。ラベルは、CIPSO またはラベルなしのいずれかです。 |
Trusted Extensions のプリンタは、プリンタのラベル範囲内で、Trusted Solaris 8 システムからのジョブを印刷できます。 |
Trusted Solaris 8 |
Trusted Extensions |
ユーザーの承認 – Trusted Solaris 8 システムで、必要な承認を追加するプロファイルを作成します。そのプロファイルをユーザーに割り当てます。 |
Trusted Solaris 8 ユーザーは、Trusted Extensions のプリンタに送信した印刷ジョブを一覧表示したり、取り消したりできます。 ユーザーは、異なるラベルのジョブを表示したり削除したりできません。 |
Trusted Extensions セキュリティーポリシーに適合するように、次のユーザーコマンドが拡張されています。
cancel – ジョブを取り消すには、呼び出し元が印刷ジョブのラベルと同等でなければなりません。デフォルトでは、一般ユーザーは自身のジョブしか取り消せません。
lp – Trusted Extensions によって -o nolabels オプションが追加されます。ユーザーがラベルなしで印刷するには、承認が必要です。同様に、ユーザーが -o nobanner オプションを使用するにも、承認が必要です。
lpstat – ジョブステータスを取得するには、呼び出し元が印刷ジョブのラベルと同等でなければなりません。デフォルトでは、一般ユーザーは自身の印刷ジョブしか表示できません。
Trusted Extensions のセキュリティーポリシーに適合するように、次の管理コマンドが拡張されています。Solaris OS の場合と同じように、これらのコマンドは Printer Management 権利プロファイルを含む役割でしか実行できません。
lpmove – ジョブを移動するには、呼び出し元が印刷ジョブのラベルと同等でなければなりません。デフォルトでは、一般ユーザーは自身の印刷ジョブしか移動できません。
lpadmin – 大域ゾーンでは、このコマンドがすべてのジョブに対して機能します。ラベル付きゾーンの場合、ジョブの表示には呼び出し元が印刷ジョブのラベルよりも優位でなければならず、ジョブの変更にはラベルと同等でなければなりません。
Trusted Extensions が、-m オプションにプリンタモデルスクリプトを追加します。Trusted Extensions が -o nolabels オプションを追加します。
lpsched – 大域ゾーンでは、このコマンドが常に成功します。Solaris OS の場合と同じように、印刷サービスの有効化、無効化、起動、または再起動には svcadm コマンドを使用します。ラベル付きゾーンの場合、印刷サービスを変更するには、呼び出し元が印刷サービスのラベルと同等でなければなりません。サービス管理機能については、smf(5)、svcadm(1M)、および svcs(1) のマニュアルページを参照してください。
Trusted Extensions が、solaris.label.print 承認を Printer Management 権利プロファイルに追加します。ラベルなしで本文ページを印刷するには、solaris.print.unlabeled 承認が必要です。
Trusted Extensions で印刷を構成する手順は、Solaris のプリンタ設定のあとに実行します。ラベル付き印刷を管理する主なタスクは、次の作業マップのとおりです。
作業 |
説明 |
参照先 |
---|---|---|
ラベル付き出力のためにプリンタを構成します。 |
ユーザーが Trusted Extensions のプリンタに出力できるようにします。印刷ジョブはラベルでマークされます。 | |
プリンタ出力から表示可能なラベルを削除します。 |
特定のラベルで Solaris のプリンタに出力できるようにします。印刷ジョブはラベルでマークされません。 または、Trusted Extensions プリンタでラベルを印刷しないようにします。 |
次の作業マップでは、ラベル付き印刷に関連する一般的な構成手順について説明します。
プリンタクライアントは、Trusted Extensions のプリンタサーバーのラベル範囲内にあるジョブしか印刷できません。
作業 |
説明 |
参照先 |
---|---|---|
大域ゾーンから印刷を構成します。 |
大域ゾーンでマルチレベルプリンタサーバーを作成します。 | |
システムのネットワーク用に印刷を構成します。 |
大域ゾーンでマルチレベルプリンタサーバーを作成し、ラベル付きゾーンでこのプリンタを使用できるようにします。 | |
ラベル付きシステムと同じサブネット内のラベルなしシステム用に印刷を構成します。 |
ラベルなしシステムでネットワークプリンタを使用できるようにします。 | |
ラベル付きゾーンから印刷を構成します。 |
ラベル付きゾーンに、シングルラベルのプリンタサーバーを作成します。 | |
マルチレベル印刷クライアントを構成します。 |
Trusted Extensions ホストをプリンタに接続します。 | |
プリンタのラベル範囲を制限します。 |
Trusted Extensions のプリンタを狭いラベル範囲に制限します。 |
Trusted Extensions のプリンタサーバーで管理されるプリンタは、本文ページ、バナーページ、およびトレーラページにラベルを印刷します。このようなプリンタは、プリンタサーバーのラベル範囲内にあるジョブを印刷できます。プリンタサーバーにアクセスできる任意の Trusted Extensions ホストが、サーバーに接続されたプリンタを利用できます。
Trusted Extensions ネットワーク用のプリンタサーバーを決定します。このプリンタサーバー上の大域ゾーンで、システム管理者役割である必要があります。
Solaris 管理コンソールを起動します。
詳細は、「Solaris 管理コンソールでローカルシステムを管理する」を参照してください。
「ファイル」ツールボックスを選択します。
ツールボックスのタイトルには、Scope=Files, Policy=TSOL が含まれています。
プリンタサーバーのポート 515/tcp を使用して大域ゾーンを構成し、マルチレベル印刷を可能にします。
ポートを大域ゾーンに追加して、プリンタサーバー用のマルチレベルポート (MLP) を作成します。
接続されているすべてのプリンタの特性を定義します。
コマンド行を使用します。印刷マネージャーの GUI は大域ゾーンでは機能しません。
# lpadmin -p printer-name -v /dev/null \ -o protocol=tcp -o dest=printer-IP-address:9100 -T PS -I postscript # accept printer-name # enable printer-name |
プリンタサーバーに接続されている各プリンタにプリンタモデルスクリプトを割り当てます。
モデルスクリプトが、指定したプリンタでバナーページとトレーラページをアクティブにします。
スクリプトについては、「プリンタモデルスクリプト」を参照してください。プリンタのドライバ名が Foomatic で始まる場合は、foomatic のモデルスクリプトを 1 つ指定します。1 つの行で次のコマンドを使用します。
$ lpadmin -p printer \ -m { tsol_standard | tsol_netstandard | tsol_standard_foomatic | tsol_netstandard_foomatic } |
すべてのプリンタに対して、ADMIN_LOW から ADMIN_HIGH のデフォルトプリンタラベル範囲を使用する場合、ラベル設定はこれで完了です。
印刷を可能にするすべてのラベル付きゾーンで、プリンタを構成します。
プリンタサーバーとして、大域ゾーンの all-zones IP アドレスを使用します。
各ゾーンでプリンタをテストします。
Solaris 10 7/10 リリース以降、管理ラベルつまり ADMIN_HIGH、ADMIN_LOW のいずれかが付いたファイルでは、印刷時の本文ページに ADMIN_HIGH が印刷されます。label_encodings ファイル内のもっとも高い値のラベルとコンパートメントが、バナーページとトレーラページにラベル付けされます。
root として、および一般ユーザーとして、次の手順を実行します。
プリンタラベル範囲を制限する – 「プリンタに制限付きのラベル範囲を構成する」
ラベル付き出力を禁止する – 「Trusted Extensions の印刷制限の引き下げ (作業マップ)」
このゾーンをプリンタサーバーとして使用する – 「Trusted Extensions クライアントがプリンタにアクセスできるようにする」
この手順では、単一の all-zones インタフェースを持つ Sun Ray サーバーに PostScript プリンタを構成します。このサーバーの Sun Ray クライアントのすべてのユーザーがこのプリンタを利用できます。初期構成は大域ゾーンで行われます。大域ゾーンが構成された後、各ラベル付きゾーンがこのプリンタを使用するように構成されます。
Trusted CDE のマルチレベルセッションにログインしている必要があります。
大域ゾーンでネットワークプリンタに IP アドレスを割り当てます。
手順については、『System Administration Guide: Printing』の第 5 章「Setting Up Printers by Using LP Print Commands (Tasks)」を参照してください。
Solaris 管理コンソールを起動します。
手順については、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。
Scope=Files, Policy=TSOL ツールボックスを選択し、ログインします。
admin_low テンプレートにプリンタを割り当てます。
大域ゾーンの共有インタフェースにプリンタポートを追加します。
Solaris 管理コンソール 割り当てがカーネル内にあることを確認します。
# tninfo -h printer-IP-address IP address= printer-IP-address Template = admin_low |
# tninfo -m global private: 111/tcp;111/udp;513/tcp;515/tcp;631/tcp;2049/tcp;6000-6050/tcp; 7007/tcp;7010/tcp;7014/tcp;7015/tcp;32771/tcp;32776/ip shared: 515/tcp;6000-6050/tcp;7007/tcp;7010/tcp;7014/tcp;7015/tcp |
6055 や 7007 などの追加のプライベートおよび共有マルチレベルポート (MLP) は、Sun Ray の要件に対応しています。
印刷サービスが大域ゾーンで有効になっていることを確認します。
# svcadm enable print/server # svcadm enable rfc1179 |
システムが netservices limited を使用してインストールされている場合は、プリンタがネットワークにアクセスできるようにします。
rfc1179 サービスは、localhost 以外のアドレスで待機する必要があります。LP サービスは名前付きパイプでのみ待機します。
# inetadm -m svc:/application/print/rfc1179:default bind_addr='' # svcadm refresh rfc1179 |
netservices open を実行している場合、前述のコマンドにより「Error: "inetd" property group missing」というエラーが生成されます。
すべてのユーザーが PostScript を印刷できるようにします。
トラステッドエディタで /etc/default/print ファイルを作成し、次の行を追加します。
PRINT_POSTSCRIPT=1 |
StarSuite や gedit などのアプリケーションでは、PostScript 出力が作成されます。
すべての LP フィルタを印刷サービスに追加します。
大域ゾーンで、次の C-Shell スクリプトを実行します。
csh cd /etc/lp/fd/ foreach a (*.fd) lpfilter -f $a:r -F $a end |
大域ゾーンにプリンタを追加します。
コマンド行を使用します。印刷マネージャーの GUI は大域ゾーンでは機能しません。
# lpadmin -p printer-name -v /dev/null -m tsol_netstandard \ -o protocol=tcp -o dest=printer-IP-address:9100 -T PS -I postscript # accept printer-name # enable printer-name |
(省略可能) プリンタをデフォルトとして設定します。
# lpadmin -d printer-name |
各ラベル付きゾーンでプリンタを構成します。
プリンタサーバーとして、大域ゾーンの all-zones IP アドレスを使用します。all-zones NIC が仮想ネットワークインタフェース (virtual network interface、vni) である場合は、-s オプションの引数として vni の IP アドレスを使用します。
各ゾーンでプリンタをテストします。
Solaris 10 7/10 リリース以降、管理ラベルつまり ADMIN_HIGH、ADMIN_LOW のいずれかが付いたファイルでは、印刷時の本文ページに ADMIN_HIGH が印刷されます。label_encodings ファイル内のもっとも高い値のラベルとコンパートメントが、バナーページとトレーラページにラベル付けされます。
root として、および一般ユーザーとして、次の手順を実行します。
この例では、管理者は大域ゾーンとラベル付きゾーンからネットワークプリンタのステータスを確認します。
global # lpstat -t scheduler is running system default destination: math-printer system for _default: trusted1 (as printer math-printer) device for math-printer: /dev/null character set default accepting requests since Feb 28 00:00 2008 lex accepting requests since Feb 28 00:00 2008 printer math-printer is idle. enabled since Feb 28 00:00 2008. available. |
Solaris1# lpstat -t scheduler is not running system default destination: math-printer system for _default: 192.168.4.17 (as printer math-printer) system for math-printer: 192.168.4.17 default accepting requests since Feb 28 00:00 2008 math-printer accepting requests since Feb 28 00:00 2008 printer _default is idle. enabled since Feb 28 00:00 2008. available. printer math-printer is idle. enabled since Feb 28 00:00 2008. available. |
カスケード印刷では、Windows デスクトップセッションから Trusted Extensions のラベル付きゾーンインタフェースに印刷することができます。この際、物理インタフェースのゾーン IP アドレスは印刷スプーラとして動作します。物理インタフェースのゾーン IP アドレス上にあるマルチレベルポート (MLP) リスナーは、Trusted Extensions の印刷サブシステムに接続し、適切なラベルヘッダーとトレーラシートを付けてファイルを印刷します。
この手順により、ラベル付きシステムと同じサブネットにあるラベルなしシステムが、ラベル付きネットワークプリンタを使用できるようになります。rfc1179 サービスはカスケード印刷を処理します。カスケード印刷を許可するすべてのラベル付きゾーンでこの手順を実行する必要があります。
「Sun Ray クライアント用にネットワークプリンタを構成する方法」の手順を完了しておきます。
ラベル付きゾーンのゾーンコンソールに root ユーザーとしてログインします。
# zlogin -C labeled-zonename |
印刷/サーバーサービスで rfc1179 サービスの依存関係を削除します。
labeled-zone # cat <<EOF | svccfg select application/print/rfc1179 delpg lpsched end EOF |
labeled-zone # svcadm refresh application/print/rfc1179 |
rfc1179 サービスが有効になっていることを確認します。
labeled-zone # svcadm enable rfc1179 |
ラベル付きゾーンが netservices limited を使用してインストールされている場合は、プリンタがネットワークにアクセスできるようにします。
rfc1179 サービスは、localhost 以外のアドレスで待機する必要があります。LP サービスは名前付きパイプでのみ待機します。
# inetadm -m svc:/application/print/rfc1179:default bind_addr='' # svcadm refresh rfc1179 |
netservices open を実行している場合、前述のコマンドにより「Error: "inetd" property group missing」というメッセージが生成されます。
ラベル付きゾーンからカスケード印刷を構成します。
labeled-zone # lpset -n system -a spooling-type=cascade printer-name |
このコマンドにより、ゾーンの /etc/printers.conf ファイルが更新されます。
このラベル付きゾーンと同じサブネットにある Solaris システムをテストします。
たとえば、Solaris1 システムをテストします。このシステムは、internal ゾーンと同じサブネットにあります。構成パラメータは次のようになります。
math-printer の IP アドレスは 192.168.4.6 です。
Solaris1 の IP アドレスは 192.168.4.12 です。
internal ゾーンの IP アドレスは 192.168.4.17 です。
Solaris1# uname -a SunOS Solaris1 Generic_120011-11 sun4u sparc SUNW,Sun-Blade-1000 Solaris1# lpadmin -p math-printer -s 192.168.4.17 Solaris1# lpadmin -d math-printer Solaris1# lpstat -t scheduler is not running system default destination: math-printer system for _default: 192.168.4.17 (as printer math-printer) system for math-printer: 192.168.4.17 default accepting requests since Feb 28 00:00 2008 math-printer accepting requests since Feb 28 00:00 2008 printer _default is idle. enabled since Feb 28 00:00 2008. available. printer math-printer is idle. enabled since Feb 28 00:00 2008. available. |
このラベル付きゾーンと同じサブネットにある Windows 2003 サーバーをテストします。
Windows サーバーでプリンタを設定します。
「スタート」メニューの「設定」から、「プリンタと FAX」の GUI を使用します。
次のようにプリンタ構成を指定します。
「プリンタのインストール」
「このコンピュータに接続されているローカルプリンタ」
「新しいポートの作成」 – 「Standard TCP/IP Port」
「プリンタ名または IP アドレス」 – 192.168.4.17 (ラベル付きゾーンの IP アドレス)
「ポート名」 – デフォルトをそのまま使用
「ポート情報がさらに必要です」 – デフォルトをそのまま使用
「デバイスの種類」 = 「カスタム」
「設定」 – 「プロトコル」 = 「LPR」
「LPR 設定」 – 「キュー名」 = math-printer (UNIX キュー名)
「LPR バイトカウントを有効にする」
製造元、モデル、ドライバ、およびほかのプリンタパラメータを指定して、プリンタプロンプトを終了します。
アプリケーションからプリンタを選択して、プリンタをテストします。
たとえば、internal ゾーンと同じサブネットにある winserver システムをテストします。構成パラメータは次のようになります。
math-printer の IP アドレスは 192.168.4.6 です。
winserver の IP アドレスは 192.168.4.200 です。
internal ゾーンの IP アドレスは 192.168.4.17 です。
winserver C:/> ipconfig Windows IP Configuration Ethernet adapter TP-NIC: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.4.200 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.4.17 |
ゾーンは、大域ゾーンと IP アドレスを共有しないようにします。大域ゾーンで、システム管理者役割になっている必要があります。
ワークスペースを追加します。
詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「特定のラベルのワークスペースを追加する」を参照してください。
新しいワークスペースのラベルを、そのラベルのプリンタサーバーとなるゾーンのラベルに変更します。
詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。
接続するプリンタの特性を定義します。
ゾーンに接続されている各プリンタにプリンタモデルスクリプトを割り当てます。
モデルスクリプトが、指定したプリンタでバナーページとトレーラページをアクティブにします。
スクリプトの選択については、「プリンタモデルスクリプト」を参照してください。プリンタのドライバ名が Foomatic で始まる場合は、foomatic のモデルスクリプトを 1 つ指定します。次のコマンドを使用します。
$ lpadmin -p printer -m model |
接続されているプリンタは、そのゾーンのラベルでのみジョブを印刷できます。
プリンタをテストします。
Solaris 10 7/10 リリース以降、管理ラベルつまり ADMIN_HIGH、ADMIN_LOW のいずれかが付いたファイルでは、印刷時の本文ページに ADMIN_HIGH が印刷されます。label_encodings ファイル内のもっとも高い値のラベルとコンパートメントが、バナーページとトレーラページにラベル付けされます。
root として、および一般ユーザーとして、次の手順を実行します。
ラベル付き出力を禁止する – 「Trusted Extensions の印刷制限の引き下げ (作業マップ)」
初期設定では、プリンタサーバーが構成されているゾーンしかそのプリンタサーバーのプリンタに出力できません。ほかのゾーンおよびほかのシステムについては、システム管理者がそれらのプリンタへのアクセスを明示的に追加する必要があります。次のような場合が考えられます。
大域ゾーンについては、異なるシステムの大域ゾーンに接続されているプリンタへのアクセスを追加します。
ラベル付きゾーンについては、そのシステムの大域ゾーンに接続されているプリンタへのアクセスを追加します。
ラベル付きゾーンについては、同じラベルの遠隔ゾーンが構成されているプリンタへのアクセスを追加します。
ラベル付きゾーンについては、異なるシステムの大域ゾーンに接続されているプリンタへのアクセスを追加します。
ラベル範囲またはシングルラベルでプリンタサーバーが構成されており、それに接続されたプリンタが構成されています。詳細は、次を参照してください。
大域ゾーンでシステム管理者役割であるか、その役割になれる必要があります。
システムがプリンタにアクセスできるようにする手順を完了します。
プリンタサーバーではないシステム上の大域ゾーンが、プリンタアクセスのためにほかのシステムの大域ゾーンを使用するように構成します。
ラベル付きゾーンが大域ゾーンを使ってプリンタにアクセスできるように構成します。
役割ワークスペースのラベルを、ラベル付きゾーンのラベルに変更します。
詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。
プリンタへのアクセスを追加します。
$ lpadmin -s printer |
ラベル付きのゾーンがほかのシステムのラベル付きゾーンを使ってプリンタにアクセスできるようにします。
ゾーンのラベルは同一である必要があります。
プリンタにアクセスできないシステムで、システム管理者役割になります。
役割ワークスペースのラベルを、ラベル付きゾーンのラベルに変更します。
詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。
遠隔のラベル付きゾーンのプリンタサーバーに接続されているプリンタへのアクセスを追加します。
$ lpadmin -s printer |
ラベル付きのゾーンが、ラベルなしプリンタサーバーを使ってプリンタにアクセスできるようにします。
ゾーンのラベルは、プリンタサーバーのラベルと同一である必要があります。
プリンタにアクセスできないシステムで、システム管理者役割になります。
役割ワークスペースのラベルを、ラベル付きゾーンのラベルに変更します。
詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「ワークスペースのラベルを変更する」を参照してください。
任意のラベル付きのプリンタサーバーに接続されているプリンタへのアクセスを追加します。
$ lpadmin -s printer |
プリンタをテストします。
Solaris 10 7/10 リリース以降、管理ラベルつまり ADMIN_HIGH、ADMIN_LOW のいずれかが付いたファイルでは、印刷時の本文ページに ADMIN_HIGH が印刷されます。label_encodings ファイル内のもっとも高い値のラベルとコンパートメントが、バナーページとトレーラページにラベル付けされます。
大域ゾーンの root と役割、およびラベル付きゾーンの root、役割、および一般ユーザーに対して印刷が正しく機能することを、すべてのクライアント上でテストします。
プリンタのラベル範囲はデフォルトで ADMIN_LOW から ADMIN_HIGH までです。この手順では、Trusted Extensions のプリンタサーバーで制御されるプリンタのラベル範囲を狭めます。
大域ゾーンでセキュリティー管理者役割になります。
デバイス割り当てマネージャーを起動します。
「デバイス管理」ボタンをクリックして、「デバイス割り当て」の 「管理」ダイアログボックスを開きます。
新しいプリンタの名前を入力します。
システムにプリンタが接続されている場合は、プリンタの名前を検出します。
「構成」ボタンをクリックして、「デバイス割り当て」の 「構成」ダイアログボックスを開きます。
プリンタのラベル範囲を変更します。
「最小ラベル」ボタンをクリックして、最小ラベルを変更します。
ラベルビルダーからラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。
「最大ラベル」ボタンをクリックして、最大ラベルを変更します。
変更を保存します。
デバイス割り当てマネージャーを閉じます。
以下のタスクは省略可能です。これらの手順では、Trusted Extensions のインストール時にデフォルトで設定される印刷のセキュリティーを引き下げます。
作業 |
説明 |
参照先 |
---|---|---|
出力にラベルを付けないようプリンタを構成します。 |
本文ページにセキュリティー情報が印刷されないようにし、バナーページとトレーラページを削除します。 | |
シングルラベルでのプリンタをラベルなし出力に構成します。 |
特定のラベルで Solaris のプリンタに出力できるようにします。印刷ジョブはラベルでマークされません。 | |
本文ページの表示可能なラベルを削除します。 |
tsol_separator.ps ファイルを修正して、Trusted Extensions ホストから送信されるすべての印刷ジョブで、本文ページにラベルを付けないようにします。 | |
バナーページとトレーラページを抑制します。 |
特定のユーザーに、バナーページとトレーラページのないジョブの印刷を許可します。 | |
信頼できるユーザーにラベルなしのジョブを印刷できるようにします。 |
特定のユーザーまたは特定システムのすべてのユーザーに、ラベルなしのジョブの印刷を許可します。 | |
PostScript ファイルを印刷できるようにします。 |
特定のユーザーまたは特定システムのすべてのユーザーに、PostScript ファイルの印刷を許可します。 | |
印刷承認を割り当てます。 |
ユーザーがデフォルトの印刷制限をバイパスできるようにします。 |
Trusted Extensions プリンタモデルスクリプトを持たないプリンタは、ラベル付きのバナーページまたはトレーラページを印刷しません。本文ページにもラベルは含まれません。
大域ゾーンでセキュリティー管理者役割になります。
Solaris プリンタサーバーはラベルなしのプリンタサーバーですが、ラベルを割り当てることによって、Trusted Extensions がそのラベルでプリンタにアクセスできるようになります。ラベルなしのプリンタサーバーに接続されているプリンタは、そのプリンタサーバーに割り当てられているラベルでしかジョブを印刷できません。ジョブはラベルまたはトレーラページなしで印刷され、バナーページなしの場合もあります。ジョブがバナーページ付きで印刷される場合でも、そのページにセキュリティー情報は含まれません。
Trusted Extensions システムは、ラベルなしのプリンタサーバーで管理されるプリンタにジョブを送信するように構成することができます。ユーザーは、セキュリティー管理者がプリンタサーバーに割り当てたラベルでは、ラベルなしのプリンタでジョブを印刷できます。
大域ゾーンでセキュリティー管理者役割になります。
適切な有効範囲で Solaris 管理コンソールを開きます。
詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions で Solaris 管理コンソールサーバーを初期化する」を参照してください。
「システム構成」で「コンピュータとネットワーク」ツールにナビゲートします。
求められたらパスワードを入力します。
プリンタサーバーにラベルなしテンプレートを割り当てます。
詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。
ラベルを選択します。そのラベルで作業しているユーザーは、プリンタサーバーのラベルで Solaris プリンタに印刷ジョブを送信できます。ページはラベル付きで印刷されず、バナーページとトレーラページも印刷ジョブに含まれません。
不特定多数の人が利用できるファイルは、ラベルなしプリンタでの印刷に適しています。この例では、マーケティングライターが、ページの最上部と最下部にラベルの印刷されない文書を作成しなければなりません。
セキュリティー管理者は、Solaris プリンタサーバーに、ラベルなしホストタイプのテンプレートを割り当てます。テンプレートについては、例 13–6 で説明されています。テンプレートの任意のラベルは PUBLIC です。このプリンタサーバーには、プリンタ pr-nolabel1 が接続されています。PUBLIC ゾーンのユーザーからの印刷ジョブは、ラベルなしで pr-nolabel1 プリンタ上で印刷されます。プリンタの設定によって、ジョブにはバナーページがあることもないこともあります。バナーページにセキュリティー情報は含まれません。
この手順では、Trusted Extensions のプリンタでのすべての印刷ジョブで本文ページにラベルが表示されないようにします。
大域ゾーンでセキュリティー管理者役割になります。
/usr/lib/lp/postscript/tsol_separator.ps ファイルを編集します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
/PageLabel の定義を検索します。
検索するのは次の行です。
%% To eliminate page labels completely, change this line to %% set the page label to an empty string: /PageLabel () def /PageLabel Job_PageLabel def |
値 Job_PageLabel は、サイトによって異なります。
/PageLabel の値を、1 組の空の括弧に置き換えます。
/PageLabel () def |
この手順では、Trusted Extensions プリンタで、承認ユーザーまたは役割が各本文ページの最上部と最下部にラベルのないジョブを印刷できるようにします。ユーザーが作業できるすべてのラベルで、ページラベルが抑制されます。
大域ゾーンでセキュリティー管理者役割になります。
ページラベルなしでジョブを印刷できるユーザーを特定します。
これらのユーザーおよび役割に、ページラベルなしでジョブを印刷できるよう許可します。
「ラベルなしで印刷」承認を含む権利プロファイルを、これらのユーザーおよび役割に割り当てます。詳細は、「便利な承認のための権利プロファイルを作成する」を参照してください。
ユーザーまたは役割に対し、印刷ジョブの送信時に lp コマンドを使用するように指示します。
% lp -o nolabels staff.mtg.notes |
大域ゾーンでセキュリティー管理者役割になります。
「バナーなしで印刷」承認を含む権利プロファイルを作成します。
バナーページとトレーラページなしの印刷を許可されている各ユーザーまたは役割に、そのプロファイルを割り当てます。
詳細は、「便利な承認のための権利プロファイルを作成する」を参照してください。
ユーザーまたは役割に対し、印刷ジョブの送信時に lp コマンドを使用するように指示します。
% lp -o nobanner staff.mtg.notes |
大域ゾーンでセキュリティー管理者役割になります。
次の 3 つの方法のいずれかで、ユーザーが PostScript ファイルを印刷できるようにします。
システムで PostScript 印刷を実行できるようにするには、/etc/default/print ファイルを修正します。
/etc/default/print ファイルを作成または修正します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
次のエントリを入力します。
PRINT_POSTSCRIPT=1 |
ファイルを保存してエディタを終了します。
すべてのユーザーがシステムから PostScript ファイルを印刷できるようにするには、/etc/security/policy.conf ファイルを修正します。
policy.conf ファイルを修正します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
solaris.print.ps 承認を追加します。
AUTHS_GRANTED=other-authorizations,solaris.print.ps |
ファイルを保存してエディタを終了します。
ユーザーまたは役割が任意のシステムから PostScript ファイルを印刷できるようにするには、そのユーザーまたは役割に適切な承認を付与します。
「Print Postscript」承認を含むプロファイルを、これらのユーザーおよび役割に割り当てます。詳細は、「便利な承認のための権利プロファイルを作成する」を参照してください。
次の例でセキュリティー管理者は、Public システムでの操作を PUBLIC ラベルに限定しています。システムには、興味のあるトピックを開くアイコンもあります。これらのトピックも印刷可能です。
セキュリティー管理者は、システムに /etc/default/print ファイルを作成します。このファイルには、PostScript ファイルの印刷を許可する 1 つのエントリだけがあります。ユーザーに「Print Postscript」承認は不要です。
# vi /etc/default/print # PRINT_POSTSCRIPT=0 PRINT_POSTSCRIPT=1 |