标签、打印机和打印

请告诉我们如何提高我们的文档：

Your rating has been updated

感谢您的反馈！

您的反馈将非常有助于我们提供更好的文档。您是否愿意参与我们的内容改进并提供进一步的意见？

Trusted Extensions 使用标签来控制打印机访问。标签用于控制对打印机的访问以及对有关已排队打印作业的信息的访问。该软件还对打印输出设置标签。为正文页设置标签，并为必需的标题页和篇尾页设置标签。标题页和篇尾页还可以包含处理说明。

系统管理员处理基本的打印机管理。安全管理员角色管理打印机安全，这包括标签和有标签输出的处理方式。管理员按照基本的 Oracle Solaris 打印机管理过程进行操作。需要进行配置才能应用标签、限制打印作业的标签范围、配置要打印的有标签区域以及放宽打印限制。

Trusted Extensions 同时支持多级别打印和单级别打印。缺省情况下，在 Trusted Extensions 系统的全局区域中配置的打印服务器可以打印所有范围的标签，也就是说，该打印服务器是多级别的。可访问该打印服务器的任何有标签区域或系统都可以打印到连接的打印机。有标签区域可支持单级别打印。区域可以通过全局区域连接打印机，也可以将区域配置为打印服务器。使用该标签的任何区域都可以访问有标签区域，因此它的打印服务器可以在连接的打印机上打印。也可以通过在已指定任意标签的无标签系统上使用打印服务器来进行单级别打印。这些打印作业将进行无标签的打印。

Oracle Solaris 10 和 Oracle Solaris 11 中的 Trusted Extensions 打印之间的差别

Oracle Solaris 10 的缺省打印协议是 LP 打印服务。Oracle Solaris 11 的缺省系统是通用 UNIX 打印系统 (Common UNIX Printing System, CUPS)。有关 Oracle Solaris 中 CPU 的全面指南，请参见《在 Oracle Solaris 11.1 中配置和管理输出》。下表列出了 CUPS 和 LP 打印协议之间的显著差异。

表 19-1 CUPS – LP 差异

差异区域	CUPS	LP
IANA 端口号	`631`	`515`
打印面	单面	双面
层叠打印	必须在打印服务器上共享打印机	必须配置通往打印机的路由
访问网络打印机	必须能够成功对打印机和打印服务器的 IP 地址执行 `ping` 操作	必须配置通往打印机的路由
远程打印作业	无法在无标签的情况下打印	可以在无标签的情况下打印
向客户机添加远程打印机	lpadmin -p `printer-name` -E \ -v ipp://`print-server-IP-address`/ printers/`printer-name-on-server`	lpadmin -p `printer-name` \ -s `server-name`
启用并接受打印服务器	`lpadmin` `-E` 选项	`accept` 和 `enable` 命令
PostScript 保护	缺省情况下提供	需要授权
禁用标题页和篇尾页	`-o job-sheets=none` 选项	`-o nobanner` 选项
lp -d `printer` file1 file2	每个打印作业一个标题页和一个篇尾页	打印作业中每个文件一个标题页和一个篇尾页
作业页面上的标签方向	始终纵向	始终为作业的方向
打印服务	svc:/application/cups/ scheduler .../in-lpd:default	svc:/application/print/ service-selector .../server .../rfc1179 .../ipp-listener svc:/network/device-discovery/ printers:snmp

在 Trusted Extensions 中限制对打印机和打印作业信息的访问

配置有 Trusted Extensions 的系统上的用户和角色以其会话的标签创建打印作业。只有识别该标签的打印服务器才接受这些打印作业。此标签必须在打印服务器的标签范围内。

用户和角色可以查看其标签与会话标签相同的打印作业。在全局区域中，角色可以查看其标签由区域标签控制的作业。

有标签的打印机输出

Trusted Extensions 在正文页以及标题页和篇尾页上打印安全信息。信息来自 /etc/security/tsol/label_encodings 文件和 /usr/lib/cups/filter/tsol_separator.ps 文件。在所有页面的顶部和底部，长度超过 80 个字符的标签在打印时都会被截断。该截断通过箭头 (->) 指示。即使正文页以横向打印，页眉和页脚标签也以纵向打印。有关示例，请参见图 19-4。

打印作业上显示的文本、标签和警告是可配置的。也可以使用其他语言的文本替换此文本以进行本地化。安全管理员可以配置以下内容：

本地化或定制标题页和篇尾页上的文本
指定要在正文页上或标题页和篇尾页的各个字段中打印的替代标签
更改或忽略任何文本或标签

定向到无标签打印机的用户可以打印不带标签的输出。用户位于具有其自己的打印服务器的有标签区域中时，如果向用户指定 solaris.print.unlabeled 授权，则他们可以打印不带标签的输出。可将角色配置为打印不带标签的输出到由 Trusted Extensions 打印服务器控制的本地打印机。有关帮助，请参见在 Trusted Extensions 中减少打印限制（任务列表）。

有标签的标题页和篇尾页

下图显示了缺省标题页以及缺省篇尾页的不同之处。标注将对各部分进行标识。有关这些部分中的文本源的解释，请参见《Trusted Extensions Label Administration》中的第 4 章 "Labeling Printer Output (Tasks)"。请注意，篇尾页使用不同的外线。

图 19-1 有标签打印作业的典型标题页

图 19-2 篇尾页的差别

有标签正文页

缺省情况下，将在每个正文页的顶部和底部打印 "Protect as"（保护为）等级。作业标签的等级与 minimum protect as 等级相比，"Protect as"（保护为）等级是处于支配地位的等级。minimum protect as 等级在 label_encodings 文件中定义。

例如，如果用户登录到 Internal Use Only 会话，则该用户的打印作业使用该标签。如果 label_encodings 文件中的 minimum protect as 等级是 Public，则在正文页上打印 Internal Use Only 标签。

图 19-3 在正文页顶部和底部打印的作业标签

正文页以横向模式打印时，标签以纵向模式打印。下图显示了以横向模式打印的正文页，它的 "Protect as"（保护为）标签扩展至页面边界之外。此标签截断至 80 个字符。

图 19-4 正文页以横向模式打印时，作业的标签以纵向模式打印

`tsol_separator.ps` 配置文件

下表显示了安全管理员可通过修改 /usr/lib/cups/filter/tsol_separator.ps 文件进行更改的可信打印的各个方面。

表 19-2 tsol_separator.ps 文件中的可配置值

输出	缺省值	如何定义	更改
`PRINTER BANNERS`	`/Caveats Job_Caveats`	`/Caveats Job_Caveats`	请参见《Trusted Extensions Label Administration》中的"Specifying Printer Banners"。
`CHANNELS`	`/Channels Job_Channels`	`/Channels Job_Channels`	请参见《Trusted Extensions Label Administration》中的"Specifying Channels"。
标题页和篇尾页顶部的标签	`/HeadLabel Job_Protect def`	请参见 `/PageLabel` 说明。	与更改 `/PageLabel` 相同。另请参见《Trusted Extensions Label Administration》中的"Specifying the “Protect As” Classification"。
正文页顶部和底部的标签	`/PageLabel Job_Protect def`	比较作业标签和 `label_encodings` 文件中的 `minimum protect as` 等级。打印处于较高支配地位的等级。如果打印作业的标签有区间，则包含区间。	更改 `/PageLabel` 定义以指定其他值。或者，键入您选择的字符串。或者，不打印任何内容。
"Protect as"（保护为）等级语句中的文本和标签	`/Protect Job_Protect def` `/Protect_Text1 () def` `/Protect_Text2 () def`	请参见 `/PageLabel` 说明。标签上方显示的文本。标签下方显示的文本。	与更改 `/PageLabel` 相同。将 `Protect_Text1` 和 `Protect_Text2` 中的 `()` 替换为文本字符串。

安全信息的 PostScript 打印

Trusted Extensions 中有标签的打印依赖于 Oracle Solaris 打印中的功能。在 Oracle Solaris OS 中，job-sheets 选项处理标题页创建。为了执行标签设置操作，过滤器将打印作业转换为 PostScript 文件。然后，对 PostScript 文件进行处理，在正文页上插入标签以及创建标题页和篇尾页。

注 - CUPS 将阻止对 PostScript 文件进行任何改动。因此，有经验的 PostScript 程序员不能创建可修改打印输出上的标签的 PostScript 文件。

Trusted Extensions 打印界面（参考信息）

Trusted Extensions 将添加以下打印授权来实施 Trusted Extensions 安全策略。会在打印服务器上检查这些授权。因此，远程用户（如有标签区域中的用户）不能通过授权检查。

solaris.print.admin－允许角色管理打印
solaris.print.list－允许角色查看不属于该角色的打印作业
solaris.print.nobanner－允许角色打印全局区域中没有标题页和篇尾页的作业
solaris.print.unlabeled－允许角色打印全局区域中没有页标签的作业

扩展了以下用户命令以符合 Trusted Extensions 安全策略：

cancel－调用者必须等于打印作业的标签才能取消作业。一般用户只能取消他们自己的作业。
lp－打印没有标签的正文页的 -o nolabel 选项需要 solaris.print.unlabeled 授权。打印没有标题页或篇尾页的 -o job-sheets=none 选项需要 solaris.print.nobanner 授权。
lpstat－调用者必须等于打印作业的标签才能获取作业的状态。一般用户只能查看他们自己的打印作业。

扩展了以下管理命令以符合 Trusted Extensions 安全策略。在 Oracle Solaris OS 中，这些命令只能由包含 "Printer Management"（打印机管理）权限配置文件的角色运行。

lpmove－调用者必须等于打印作业的标签才能移动作业。缺省情况下，一般用户只能移动他们自己的打印作业。
lpadmin－在全局区域中，此命令适用于所有作业。在有标签区域中，调用者必须支配打印作业的标签才能查看作业，必须等于该标签才能更改作业。
lpsched－在全局区域中，此命令始终会成功。在 Oracle Solaris OS 中，使用 svcadm 命令来启用、禁用、启动或重新启动打印服务。在有标签区域中，调用者必须等于打印服务的标签才能更改打印服务。有关服务管理工具的详细信息，请参见 smf(5)、svcadm(1M) 和 svcs(1) 手册页。

跳过导航链接
退出打印视图
	Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文)