跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
Oracle Solaris 10 和 Oracle Solaris 11 中的 Trusted Extensions 打印之间的差别
在 Trusted Extensions 中管理打印(任务)
如何允许 Trusted Extensions 客户机访问打印机
在 Trusted Extensions 中减少打印限制(任务列表)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
Trusted Extensions 使用标签来控制打印机访问。标签用于控制对打印机的访问以及对有关已排队打印作业的信息的访问。该软件还对打印输出设置标签。为正文页设置标签,并为必需的标题页和篇尾页设置标签。标题页和篇尾页还可以包含处理说明。
系统管理员处理基本的打印机管理。安全管理员角色管理打印机安全,这包括标签和有标签输出的处理方式。管理员按照基本的 Oracle Solaris 打印机管理过程进行操作。需要进行配置才能应用标签、限制打印作业的标签范围、配置要打印的有标签区域以及放宽打印限制。
Trusted Extensions 同时支持多级别打印和单级别打印。缺省情况下,在 Trusted Extensions 系统的全局区域中配置的打印服务器可以打印所有范围的标签,也就是说,该打印服务器是多级别的。可访问该打印服务器的任何有标签区域或系统都可以打印到连接的打印机。有标签区域可支持单级别打印。区域可以通过全局区域连接打印机,也可以将区域配置为打印服务器。使用该标签的任何区域都可以访问有标签区域,因此它的打印服务器可以在连接的打印机上打印。也可以通过在已指定任意标签的无标签系统上使用打印服务器来进行单级别打印。这些打印作业将进行无标签的打印。
Oracle Solaris 10 的缺省打印协议是 LP 打印服务。Oracle Solaris 11 的缺省系统是通用 UNIX 打印系统 (Common UNIX Printing System, CUPS)。有关 Oracle Solaris 中 CPU 的全面指南,请参见《在 Oracle Solaris 11.1 中配置和管理输出》。下表列出了 CUPS 和 LP 打印协议之间的显著差异。
表 19-1 CUPS – LP 差异
|
配置有 Trusted Extensions 的系统上的用户和角色以其会话的标签创建打印作业。只有识别该标签的打印服务器才接受这些打印作业。此标签必须在打印服务器的标签范围内。
用户和角色可以查看其标签与会话标签相同的打印作业。在全局区域中,角色可以查看其标签由区域标签控制的作业。
Trusted Extensions 在正文页以及标题页和篇尾页上打印安全信息。信息来自 /etc/security/tsol/label_encodings 文件和 /usr/lib/cups/filter/tsol_separator.ps 文件。在所有页面的顶部和底部,长度超过 80 个字符的标签在打印时都会被截断。该截断通过箭头 (->) 指示。即使正文页以横向打印,页眉和页脚标签也以纵向打印。有关示例,请参见图 19-4。
打印作业上显示的文本、标签和警告是可配置的。也可以使用其他语言的文本替换此文本以进行本地化。安全管理员可以配置以下内容:
本地化或定制标题页和篇尾页上的文本
指定要在正文页上或标题页和篇尾页的各个字段中打印的替代标签
更改或忽略任何文本或标签
定向到无标签打印机的用户可以打印不带标签的输出。用户位于具有其自己的打印服务器的有标签区域中时,如果向用户指定 solaris.print.unlabeled 授权,则他们可以打印不带标签的输出。可将角色配置为打印不带标签的输出到由 Trusted Extensions 打印服务器控制的本地打印机。有关帮助,请参见在 Trusted Extensions 中减少打印限制(任务列表)。
下图显示了缺省标题页以及缺省篇尾页的不同之处。标注将对各部分进行标识。有关这些部分中的文本源的解释,请参见《Trusted Extensions Label Administration》中的第 4 章 "Labeling Printer Output (Tasks)"。请注意,篇尾页使用不同的外线。
图 19-1 有标签打印作业的典型标题页
图 19-2 篇尾页的差别
缺省情况下,将在每个正文页的顶部和底部打印 "Protect as"(保护为)等级。作业标签的等级与 minimum protect as 等级相比,"Protect as"(保护为)等级是处于支配地位的等级。minimum protect as 等级在 label_encodings 文件中定义。
例如,如果用户登录到 Internal Use Only 会话,则该用户的打印作业使用该标签。如果 label_encodings 文件中的 minimum protect as 等级是 Public,则在正文页上打印 Internal Use Only 标签。
图 19-3 在正文页顶部和底部打印的作业标签
正文页以横向模式打印时,标签以纵向模式打印。下图显示了以横向模式打印的正文页,它的 "Protect as"(保护为)标签扩展至页面边界之外。此标签截断至 80 个字符。
图 19-4 正文页以横向模式打印时,作业的标签以纵向模式打印
下表显示了安全管理员可通过修改 /usr/lib/cups/filter/tsol_separator.ps 文件进行更改的可信打印的各个方面。
表 19-2 tsol_separator.ps 文件中的可配置值
|
Trusted Extensions 中有标签的打印依赖于 Oracle Solaris 打印中的功能。在 Oracle Solaris OS 中,job-sheets 选项处理标题页创建。为了执行标签设置操作,过滤器将打印作业转换为 PostScript 文件。然后,对 PostScript 文件进行处理,在正文页上插入标签以及创建标题页和篇尾页。
注 - CUPS 将阻止对 PostScript 文件进行任何改动。因此,有经验的 PostScript 程序员不能创建可修改打印输出上的标签的 PostScript 文件。
Trusted Extensions 将添加以下打印授权来实施 Trusted Extensions 安全策略。会在打印服务器上检查这些授权。因此,远程用户(如有标签区域中的用户)不能通过授权检查。
solaris.print.admin-允许角色管理打印
solaris.print.list-允许角色查看不属于该角色的打印作业
solaris.print.nobanner-允许角色打印全局区域中没有标题页和篇尾页的作业
solaris.print.unlabeled-允许角色打印全局区域中没有页标签的作业
扩展了以下用户命令以符合 Trusted Extensions 安全策略:
cancel-调用者必须等于打印作业的标签才能取消作业。一般用户只能取消他们自己的作业。
lp-打印没有标签的正文页的 -o nolabel 选项需要 solaris.print.unlabeled 授权。打印没有标题页或篇尾页的 -o job-sheets=none 选项需要 solaris.print.nobanner 授权。
lpstat-调用者必须等于打印作业的标签才能获取作业的状态。一般用户只能查看他们自己的打印作业。
扩展了以下管理命令以符合 Trusted Extensions 安全策略。在 Oracle Solaris OS 中,这些命令只能由包含 "Printer Management"(打印机管理)权限配置文件的角色运行。
lpmove-调用者必须等于打印作业的标签才能移动作业。缺省情况下,一般用户只能移动他们自己的打印作业。
lpadmin-在全局区域中,此命令适用于所有作业。在有标签区域中,调用者必须支配打印作业的标签才能查看作业,必须等于该标签才能更改作业。
lpsched-在全局区域中,此命令始终会成功。在 Oracle Solaris OS 中,使用 svcadm 命令来启用、禁用、启动或重新启动打印服务。在有标签区域中,调用者必须等于打印服务的标签才能更改打印服务。有关服务管理工具的详细信息,请参见 smf(5)、svcadm(1M) 和 svcs(1) 手册页。