Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
Étiquettes, imprimantes et impression
Sorties d'imprimante étiquetées
Pages de corps de texte étiquetées
Pages de garde et de fin étiquetées
Impression PostScript d'informations de sécurité
Scripts de modèle d'imprimante
Filtres de conversion supplémentaires
Interopérabilité de Trusted Extensions et de l'impression Trusted Solaris 8
Gestion de l'impression dans Trusted Extensions (liste des tâches)
Configuration de l'impression étiquetée (liste des tâches)
Procédure de configuration d'un serveur d'impression multiniveau et des imprimantes correspondantes
Procédure de configuration d'une imprimante réseau pour les clients Sun Ray
Procédure de configuration de l'impression en cascade sur un système étiqueté
Procédure de configuration d'une zone pour l'impression à étiquette unique
Procédure d'octroi de l'autorisation d'accéder à une imprimante à un client Trusted Extensions
Procédure de configuration d'une plage d'étiquettes restreinte pour une imprimante
Réduction des restrictions d'impression dans Trusted Extensions (liste des tâches)
Procédure de suppression des étiquettes sur les sorties d'imprimante
Procédure d'assignation d'une étiquette à un serveur d'impression non étiqueté
Procédure de suppression des étiquettes de pages de tous les travaux d'impression
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
Trusted Extensions utilise des étiquettes pour contrôler l'accès aux imprimantes. Les étiquettes permettent de contrôler l'accès aux imprimantes et aux informations relatives aux travaux d'impression de la file d'attente. Le logiciel permet également d'étiqueter les sorties d'impression. Des étiquettes sont appliquées aux pages de corps de texte ainsi qu'aux pages de garde et de fin. Les pages de garde et de fin peuvent également inclure des instructions de traitement.
L'administrateur système assure la gestion courante de l'imprimante. Le rôle de l'administrateur de sécurité gère la sécurité de l'imprimante, notamment les étiquettes et la manière dont les sorties étiquetées sont gérées. Les administrateurs suivent les procédures d'administration des imprimantes Oracle Solaris de base, puis ils assignent des étiquettes aux serveurs d'impression et aux imprimantes.
Trusted Extensions prend en charge l'impression à niveau unique et l'impression multiniveau. L'impression multiniveau est uniquement implémentée dans la zone globale. Pour utiliser le serveur d'impression de la zone globale, une zone étiquetée doit avoir un nom d'hôte différent de celui de la zone globale. Une manière d'obtenir un nom d'hôte distinct est d'assigner une adresse IP à la zone étiquetée. L'adresse serait différente de l'adresse IP de la zone globale.
Les utilisateurs et les rôles des systèmes configurés avec Trusted Extensions créent des travaux d'impression correspondant à l'étiquette de leur session. Les travaux d'impression peuvent uniquement être imprimés sur des imprimantes qui reconnaissent cette étiquette. L'étiquette doit se trouver dans la plage d'étiquettes du périphérique.
Les utilisateurs et les rôles peuvent afficher les travaux d'impression dont l'étiquette est identique à l'étiquette de la session. Dans la zone globale, un rôle peut visualiser les travaux dont l'étiquette est dominée par l'étiquette de la zone.
Les imprimantes configurées avec Trusted Extensions impriment des étiquettes sur les sorties d'imprimante. Les imprimantes gérées par des serveurs d'impression non étiquetés n'impriment pas les étiquettes sur les sorties d'imprimante. Ces imprimantes ont la même étiquette que leur serveur non étiqueté. Par exemple, une étiquette arbitraire peut être assignée à un serveur d'impression Oracle Solaris dans la base de données tnrhdb du service de nommage LDAP. Les utilisateurs peuvent ensuite imprimer des travaux sous cette étiquette arbitraire sur l'imprimante Oracle Solaris. À l'instar des imprimantes Trusted Extensions, ces imprimantes Oracle Solaris peuvent uniquement accepter les travaux d'impression provenant d'utilisateurs qui travaillent sous l'étiquette assignée au serveur d'impression.
Trusted Extensions imprime les informations de sécurité sur les pages de corps de texte, les pages de garde et les pages de fin. Ces informations proviennent du fichier label_encodings et du fichier tsol_separator.ps.
L'administrateur de sécurité peut effectuer les opérations suivantes pour modifier les valeurs par défaut de configuration des étiquettes et ajouter des instructions de traitement aux sorties d'imprimante :
Localiser ou personnaliser le texte des pages de garde et de fin
Spécifier d'autres étiquettes à imprimer sur les pages de corps de texte ou dans les différents champs des pages de garde et de fin
Modifier ou omettre le texte ou les étiquettes
L'administrateur de sécurité peut également configurer des comptes utilisateurs pour qu'ils utilisent des imprimantes n'imprimant pas d'étiquettes sur la sortie. Les utilisateurs peuvent également être autorisés à ne pas imprimer certaines bannières ou étiquettes sur les sorties d'imprimante.
Par défaut, la classification "Protéger en tant que" est imprimée dans la partie supérieure et inférieure de chaque page de corps de texte. La classification "Protéger en tant que" est la classification dominante lorsque la classification de l'étiquette du travail est comparée à la minimum protect as classification (classification de protection en tant que minimale). La minimum protect as classification est définie dans le fichier label_encodings.
Par exemple, si l'utilisateur est connecté à une session à usage interne uniquement (Internal Use Only), les travaux d'impression étiquetés de l'utilisateur correspondent à cette étiquette. Si la minimum protect as classification du fichier label_encodings est Public, l'étiquette Internal Use Only (Usage interne uniquement) est imprimée sur les pages de corps de texte.
Figure 15-1 Impression de l'étiquette d'un travail dans la partie supérieure et inférieure d'une page de corps de texte
Les figurent suivantes montrent une page de garde par défaut et indique en quoi elle diffère d'une page de fin par défaut. Les légendes identifient les différentes sections. Notez que la page de fin utilise une ligne de contour différente.
Le texte, les étiquettes et les avertissements qui s'affichent sur les travaux d'impression sont configurables. Le texte peut également être localisé et remplacé par un texte dans une autre langue.
Figure 15-2 Page de garde type d'un travail d'impression étiqueté
Figure 15-3 Page de fin : différences par rapport à la page de garde
Le tableau suivant présente des aspects de l'impression de confiance que l'administrateur de sécurité peut changer en modifiant le fichier /usr/lib/lp/postscript/tsol_separator.ps.
Remarque - Pour localiser ou internationaliser les sorties d'imprimante, consultez les commentaires dans le fichier tsol_separator.ps.
Tableau 15-1 Valeurs configurables dans le fichier tsol_separator.ps
|
L'impression étiquetée dans Trusted Extensions s'appuie sur les fonctions d'impression de Solaris. Dans le SE Oracle Solaris, les scripts du modèle d'imprimante gèrent la création de la page de garde. Pour implémenter l'étiquetage, un script de modèle d'imprimante commence par convertir le travail d'impression en un fichier PostScript. Le fichier PostScript est ensuite manipulé pour insérer des étiquettes sur les pages de corps de texte et créer des pages de garde et de fin.
Les scripts de modèle d'imprimante &Solaris peuvent également traduire PostScript dans la langue d'origine d'une imprimante. Lorsqu'une imprimante accepte l'entrée PostScript, Oracle Solaris envoie le travail d'impression à l'imprimante. Lorsqu'une imprimante n'accepte pas l'entrée PostScript, le logiciel convertit le format PostScript en image raster. L'image raster est ensuite convertie au format d'imprimante approprié.
Étant donné que le logiciel PostScript est utilisé pour imprimer les informations d'étiquettes, par défaut, les utilisateurs ne peuvent pas imprimer de fichiers PostScript. Cette restriction empêche un programmeur PostScript expérimenté de créer un fichier PostScript modifiant les étiquettes sur les sorties d'imprimante.
Le rôle d'administrateur de sécurité peut passer outre à cette restriction en assignant l'autorisation Print Postscript à des comptes de rôles et à des utilisateurs dignes de confiance. L'autorisation n'est assignée que s'il est certain que le compte concerné n'usurpera pas les étiquettes sur les sorties d'imprimante. En outre, l'octroi à un utilisateur de l'autorisation d'imprimer des fichiers PostScript doit être compatible avec la stratégie de sécurité du site.
Un script de modèle d'imprimante permet à un modèle d'imprimante particulier de fournir des pages de garde et de fin. Trusted Extensions fournit quatre scripts :
tsol_standard : pour les imprimantes PostScript directement reliées, par exemple, via un port parallèle
tsol_netstandard : pour les imprimantes PostScript accessibles via le réseau
tsol_standard_foomatic : pour les imprimantes directement reliées qui n'impriment pas le format PostScript
tsol_netstandard_foomatic : pour les imprimantes accessibles via le réseau qui n'impriment pas le format PostScript
Les scripts foomatic sont utilisés lorsqu'un nom de pilote d'imprimante commence par Foomatic. Les pilotes Foomatic sont des pilotes d'imprimante PostScript (PPD).
Remarque - Lorsque vous ajoutez une imprimante à une zone étiquetée, "Utiliser PPD" est spécifié par défaut dans le Gestionnaire d'impression. Un fichier PPD est ensuite utilisé pour traduire les pages de garde et de fin dans la langue de l'imprimante.
Un filtre de conversion convertit des fichiers texte au format PostScript. Les programmes du filtre sont des programmes de confiance exécutés par le démon d'imprimante. Les fichiers convertis au format PostScript par n'importe quel programme de filtrage installé offrent la garantie de présenter des étiquettes et des textes de page de garde et de fin authentiques.
Oracle Solaris fournit la plupart des filtres requis par un site. Le rôle d'administrateur système d'un site peut installer des filtres supplémentaires. L'authenticité des étiquettes et des pages de garde et de fin de ces filtres est garantie. Pour ajouter des filtres de conversion, reportez-vous au Chapitre 7, Customizing LP Printing Services and Printers (Tasks) du System Administration Guide: Printing.
Les systèmes Trusted Solaris 8 et Trusted Extensions contenant des fichiers label_encodings compatibles et s'identifiant mutuellement à l'aide d'un modèle CIPSO peuvent s'utiliser l'un l'autre pour l'impression à distance. Le tableau suivant décrit la configuration requise des systèmes pour permettre l'impression. Par défaut, les utilisateurs ne peuvent pas lister ou annuler les travaux d'impression d'un serveur d'impression distant exécutant l'autre système d'exploitation. Si vous le souhaitez, vous pouvez autoriser des utilisateurs à le faire.
|
Les commandes utilisateur suivantes sont étendues pour être conformes à la stratégie de sécurité de Trusted Extensions :
annuler : pour annuler un travail, l'appelant doit avoir une étiquette égale à celle du travail d'impression. Par défaut, les utilisateurs standard ne peuvent annuler que leurs propres travaux.
lp : Trusted Extensions ajoute l'option -o nolabels. Les utilisateurs doivent être autorisés à imprimer sans étiquette. De même, les utilisateurs doivent être autorisés à utiliser l'option -o nobanner.
Ipstat : pour obtenir l'état d'un travail, l'appelant doit avoir une étiquette égale à celle du travail d'impression. Par défaut, les utilisateurs standard ne peuvent consulter que leurs propres travaux d'impression.
Les commandes d'administration suivantes sont étendues pour être conformes à la stratégie de sécurité de Trusted Extensions. Comme dans le SE Oracle Solaris, ces commandes ne peuvent être exécutées que par un rôle comprenant le profil de droits Printer management (Gestion des imprimantes).
lpmove : pour déplacer un travail, l'appelant doit avoir une étiquette égale à celle du travail d'impression. Par défaut, les utilisateurs standard ne peuvent déplacer que leurs propres travaux d'impression.
lpadmin : dans la zone globale, cette commande fonctionne pour tous les travaux. Dans une zone étiquetée, l'appelant doit dominer l'étiquette du travail d'impression pour visualiser un travail, et posséder une étiquette égale à celle du travail d'impression pour modifier un travail.
Trusted Extensions ajoute des scripts de modèles d'imprimante à l'option -m. Trusted Extensions ajoute l'option -o nolabels.
lpsched : dans la zone globale, cette commande aboutit toujours. Comme dans le SE Oracle Solaris, utilisez la commande svcadm pour activer, désactiver, démarrer ou redémarrer le service d'impression. Dans une zone étiquetée, l'appelant doit avoir une étiquette égale à celle du service d'impression pour modifier le service d'impression. Pour plus d'informations sur l'utilitaire de gestion des services, reportez-vous aux pages de manuel smf(5), svcadm(1M), et svcs(1).
Trusted Extensions ajoute l'autorisation solaris.label.print au profil de droits Printer Management (Gestion des imprimantes). L'autorisation solaris.print.unlabeled est requise pour imprimer des pages de corps de texte sans étiquette.