跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 管理员规程 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
在 Trusted Extensions 中管理打印(任务列表)
如何允许 Trusted Extensions 客户机访问打印机
在 Trusted Extensions 中减少打印限制(任务列表)
如何使用户可以在 Trusted Extensions 中打印 PostScript 文件
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
Trusted Extensions 软件使用标签来控制打印机访问。标签用于控制对打印机的访问以及对有关已排队打印作业的信息的访问。该软件还对已打印的输出进行标记。为正文页设置标签,并为必需的标题页和篇尾页设置标签。标题页和篇尾页还可以包括处理指令。
系统管理员处理基本的打印机管理。安全管理员角色管理打印机安全,这包括标签和有标签输出的处理方式。这些管理员按照基本的 Oracle Solaris 打印机管理过程进行操作,然后他们为打印服务器和打印机指定标签。
Trusted Extensions 软件同时支持单级别打印和多级别打印。多级别打印仅在全局区域中实现。要使用全局区域的打印服务器,有标签区域必须具有与全局区域不同的主机名称。获取不同主机名称的一种方法是,为有标签区域指定 IP 地址。该地址应与全局区域的 IP 地址不同。
使用 Trusted Extensions 软件配置的系统上的用户和角色以其会话的标签创建打印作业。打印作业只能在识别该标签的打印机上打印。标签必须处于打印机的标签范围内。
用户和角色可以查看其标签与会话标签相同的打印作业。在全局区域中,角色可以查看其标签由区域标签控制的作业。
使用 Trusted Extensions 软件配置的打印机在打印机输出上打印标签。由无标签打印服务器管理的打印机不在打印机输出上打印标签。这样的打印机具有与其无标签服务器相同的标签。例如,可以在 LDAP 命名服务的 tnrhdb 数据库中为 Oracle Solaris 打印服务器指定任意标签。用户然后可以在 Oracle Solaris 打印机上打印该任意标签的作业。与 Trusted Extensions 打印机一样,那些 Oracle Solaris 打印机只能从已指定给打印服务器的标签工作的用户接受打印作业。
Trusted Extensions 在正文页以及标题页和篇尾页上打印安全信息。该信息来自 label_encodings 文件和 tsol_separator.ps 文件。
安全管理员可以执行以下操作,以修改用于设置标签和向打印机输出添加处理指令的缺省设置:
本地化或定制标题页和篇尾页上的文本
指定要在正文页上或标题页和篇尾页的各个域中打印备用标签
更改或省略任何文本或标签
安全管理员还可以配置用户帐户以使用不在输出上打印标签的打印机。也可以授权用户有选择地不在打印机输出上打印标题或标签。
缺省情况下,在每个正文页的顶部和底部打印 "Protect As" 等级。当来自作业标签的等级与 minimum protect as classification 进行比较时,"Protect As" 等级是主要的等级。minimum protect as classification 在 label_encodings 文件中定义。
例如,如果用户登录到 Internal Use Only 会话,则用户的打印作业处于该标签级别。如果 label_encodings 文件中的 minimum protect as classification 为 Public,则在正文页上打印 Internal Use Only 标签。
图 15-1 打印在正文页顶部和底部的作业标签
以下各图显示一个缺省标题页,以及缺省篇尾页有何不同。引出线标明了各个部分。请注意,篇尾页使用不同的外部线。
出现在打印作业上的文本、标签和警告是可配置的。该文本还可以替换为其他语言的文本,以用于本地化。
图 15-2 带标签的打印作业的典型标题页
图 15-3 篇尾页上的差异
下表显示了安全管理员可以通过修改 /usr/lib/lp/postscript/tsol_separator.ps 文件更改的可信打印的各个方面。
注 - 要本地化或国际化已打印的输出,请参见 tsol_separator.ps 文件中的注释。
表 15-1 tsol_separator.ps 文件中可配置的值
|
Trusted Extensions 中有标签的打印依赖于 Solaris 打印中的功能。在 Oracle Solaris OS 中,打印机型号脚本处理标题页的创建。要实现标记,打印机型号脚本首先将打印作业转换为 PostScript 文件。然后,对 PostScript 文件进行处理,在正文页上插入标签以及创建标题页和篇尾页。
Solaris 打印机型号脚本还可以将 PostScript 转换为打印机的本机语言。如果打印机接受 PostScript 输入,则 Oracle Solaris 软件将作业发送到打印机。如果打印机不接受 PostScript 输入,则软件将 PostScript 格式转换为光栅图像。然后将光栅图像转换为适当的打印机格式。
由于 PostScript 软件用于打印标签信息,因此缺省情况下用户无法打印 PostScript 文件。此限制可防止知识渊博的 PostScript 程序员创建用于修改打印机输出上标签的 PostScript 文件。
安全管理员角色可以通过将 Print Postscript 授权指定给角色帐户和值得信任的用户来覆盖此限制。仅当可以信任帐户不会对打印机输出上的标签进行电子欺骗时才指定授权。此外,允许用户打印 PostScript 文件必须与站点的安全策略一致。
打印机型号脚本使特定型号的打印机可以提供标题页和篇尾页。Trusted Extensions 提供了以下四个脚本:
tsol_standard-用于直接连接的 PostScript 打印机,例如通过并行端口连接的打印机
tsol_netstandard-用于网络可访问的 PostScript 打印机
tsol_standard_foomatic-用于不打印 PostScript 格式的直接连接的打印机
tsol_netstandard_foomatic-用于不打印 PostScript 格式的网络可访问的打印机
当打印机驱动程序名称以 Foomatic 开头时,会使用 foomatic 脚本。Foomatic 驱动程序是 PostScript 打印机驱动程序 (PostScript Printer Driver, PPD)。
注 - 将打印机添加到有标签区域时,缺省情况下在打印管理器中指定 "Use PPD"(使用 PPD)。然后使用 PPD 将标题页和篇尾页转换为打印机语言。
转换过滤器将文本文件转换为 PostScript 格式。过滤器的程序是由打印机守护进程运行的可信程序。可以信任由已安装的任何过滤器程序转换为 PostScript 格式的文件已具有真实的标签以及标题页和篇尾页文本。
Oracle Solaris 软件提供了站点需要的大多数转换过滤器。站点的 "Security Administrator"(安全管理员)角色可以安装其他过滤器。然后可以信任这些过滤器已具有真实的标签以及标题页和篇尾页。要添加转换过滤器,请参见《System Administration Guide: Printing》中的第 7 章 "Customizing LP Printing Services and Printers (Tasks)"。
具有兼容的 label_encodings 文件且将彼此识别为使用 CIPSO 模板的 Trusted Solaris 8 和 Trusted Extensions 系统可以互相使用以进行远程打印。下表介绍了如何设置系统以允许打印。缺省情况下,用户无法列出或取消其他 OS 的远程打印服务器上的打印作业。(可选的)可以授权用户这样做。
|
以下用户命令已扩展为符合 Trusted Extensions 安全策略:
cancel—调用者必须等同于打印作业的标签才能取消作业。缺省情况下,一般用户只能取消自己的作业。
lp-Trusted Extensions 添加 -o nolabels 选项。用户必须有权在没有标签的情况下打印。同样,用户必须有权使用 -o nobanner 选项。
lpstat—调用者必须等同于打印作业的标签才能获取作业的状态。缺省情况下,一般用户只能查看自己的打印作业。
以下管理命令已扩展为符合 Trusted Extensions 安全策略。与在 Oracle Solaris OS 中一样,这些命令只能由包括打印机管理权限配置文件的角色运行。
lpmove—调用者必须等同于打印作业的标签才能移动作业。缺省情况下,一般用户只能移动自己的打印作业。
lpadmin—在全局区域中,此命令适用于所有作业。在有标签区域中,调用者必须控制打印作业的标签才能查看作业,必须等同于打印作业的标签才能更改作业。
Trusted Extensions 将打印机型号脚本添加到 -m 选项。Trusted Extensions 添加 -o nolabels 选项。
lpsched—在全局区域中,此命令始终是成功的。与在 Oracle Solaris OS 中一样,使用 svcadm 命令可启用、禁用、启动或重新启动打印服务。在有标签区域中,调用者必须等同于打印服务的标签才能更改打印服务。有关服务管理工具的详细信息,请参见 smf(5)、svcadm(1M) 和 svcs(1) 手册页。
Trusted Extensions 将 solaris.label.print 授权添加到打印机管理权限配置文件。需要有 solaris.print.unlabeled 授权才能打印没有标签的正文页。