Ignorer les liens de navigation | |
Quitter l'aperu | |
![]() |
Procédures de l'administrateur Trusted Extensions Oracle Solaris 10 1/13 Information Library (Français) |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
Etiquettes, imprimantes et impression
Sorties d'imprimante étiquetées
Pages de corps de texte étiquetées
Pages de garde et de fin étiquetées
Impression PostScript d'informations de sécurité
Scripts de modèle d'imprimante
Filtres de conversion supplémentaires
Interopérabilité de Trusted Extensions et de l'impression Trusted Solaris 8
Gestion de l'impression dans Trusted Extensions (liste des tâches)
Configuration de l'impression étiquetée (liste des tâches)
Configuration d'un serveur d'impression multiniveau et des imprimantes correspondantes
Configuration d'une imprimante réseau pour les clients Sun Ray
Configuration de l'impression en cascade sur un système étiqueté
Configuration d'une zone pour l'impression à étiquette unique
Octroi de l'autorisation d'accéder à une imprimante à un client Trusted Extensions
Configuration d'une plage d'étiquettes restreinte pour une imprimante
Réduction des restrictions d'impression dans Trusted Extensions (liste des tâches)
Suppression des étiquettes sur les sorties d'imprimante
Assignation d'une étiquette à un serveur d'impression non étiqueté
Suppression des étiquettes de pages de tous les travaux d'impression
Octroi à des utilisateurs spécifiques de l'autorisation de supprimer les étiquettes de pages
Octroi à des utilisateurs spécifiques de l'autorisation de supprimer les pages de garde et de fin
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
Trusted Extensions utilise des étiquettes pour contrôler l'accès aux imprimantes. Les étiquettes permettent de contrôler l'accès aux imprimantes et aux informations relatives aux travaux d'impression de la file d'attente. Le logiciel permet également d'étiqueter les sorties d'impression. Des étiquettes sont appliquées aux pages de corps de texte ainsi qu'aux pages de garde et de fin. Les pages de garde et de fin peuvent également inclure des instructions de traitement.
L'administrateur système assure la gestion courante de l'imprimante. Le rôle de l'administrateur de sécurité gère la sécurité de l'imprimante, notamment les étiquettes et la manière dont les sorties étiquetées sont gérées. Les administrateurs suivent les procédures d'administration des imprimantes Oracle Solaris de base, puis ils assignent des étiquettes aux serveurs d'impression et aux imprimantes.
Trusted Extensions prend en charge l'impression à niveau unique et l'impression multiniveau. L'impression multiniveau est uniquement implémentée dans la zone globale. Pour utiliser le serveur d'impression de la zone globale, une zone étiquetée doit avoir un nom d'hôte différent de celui de la zone globale. Une manière d'obtenir un nom d'hôte distinct est d'assigner une adresse IP à la zone étiquetée. L'adresse serait différente de l'adresse IP de la zone globale.
Les utilisateurs et les rôles des systèmes configurés avec Trusted Extensions créent des travaux d'impression correspondant à l'étiquette de leur session. Les travaux d'impression peuvent uniquement être imprimés sur des imprimantes qui reconnaissent cette étiquette. L'étiquette doit se trouver dans la plage d'étiquettes du périphérique.
Les utilisateurs et les rôles peuvent afficher les travaux d'impression dont l'étiquette est identique à l'étiquette de la session. Dans la zone globale, un rôle peut visualiser les travaux dont l'étiquette est dominée par l'étiquette de la zone.
Les imprimantes configurées avec Trusted Extensions impriment des étiquettes sur les sorties d'imprimante. Les imprimantes gérées par des serveurs d'impression non étiquetés n'impriment pas les étiquettes sur les sorties d'imprimante. Ces imprimantes ont la même étiquette que leur serveur non étiqueté. Par exemple, une étiquette arbitraire peut être assignée à un serveur d'impression Oracle Solaris dans la base de données tnrhdb du service de noms LDAP. Les utilisateurs peuvent ensuite imprimer des travaux sous cette étiquette arbitraire sur l'imprimante Oracle Solaris. A l'instar des imprimantes Trusted Extensions, ces imprimantes Oracle Solaris peuvent uniquement accepter les travaux d'impression provenant d'utilisateurs qui travaillent sous l'étiquette assignée au serveur d'impression.
Trusted Extensions imprime les informations de sécurité sur les pages de corps de texte et les pages de garde et de fin. Ces informations proviennent du fichier label_encodings et du fichier tsol_separator.ps.
L'administrateur de sécurité peut effectuer les opérations suivantes pour modifier les valeurs par défaut de configuration des étiquettes et ajouter des instructions de traitement aux sorties d'imprimante :
Localisation ou personnalisation du texte des pages de garde et de fin
Spécification d'autres étiquettes à imprimer sur les pages de corps de texte ou dans les différents champs des pages de garde et de fin
Modification ou omission du texte ou des étiquettes
L'administrateur de sécurité peut également configurer des comptes utilisateurs pour qu'ils utilisent des imprimantes n'imprimant pas d'étiquettes sur la sortie. Les utilisateurs peuvent également être autorisés à ne pas imprimer certaines bannières ou étiquettes sur les sorties d'imprimante.
Par défaut, la classification "Protéger en tant que" est imprimée dans la partie supérieure et inférieure de chaque page de corps de texte. La classification "Protéger en tant que" est la classification dominante lorsque la classification de l'étiquette du travail est comparée à la minimum protect as classification (classification de protection en tant que minimale). La classification minimum protect as est définie dans le fichier label_encodings .
Par exemple, si l'utilisateur est connecté à une session Internal Use Only , les travaux d'impression de l'utilisateur sont sous cette étiquette. Si la minimum protect as classification du fichier label_encodings est Public, l'étiquette Internal Use Only (Usage interne uniquement) est imprimée sur les pages de corps de texte.
Figure 15-1 Etiquette d'un travail imprimée en haut et en bas d'une page de corps de texte
Les figures suivantes montrent une page de garde par défaut et ses différences avec une page de fin par défaut. Les légendes identifient les différentes sections. Notez que la page de fin utilise une ligne de contour différente.
Le texte, les étiquettes et les avertissements qui s'affichent sur les travaux d'impression sont configurables. Le texte peut également être remplacé par un texte dans une autre langue pour la localisation.
Figure 15-2 Page de garde standard d'un travail d'impression étiqueté
Figure 15-3 Différences sur une page de fin
Le tableau suivant présente des aspects de l'impression de confiance que l'administrateur de sécurité peut changer en modifiant le fichier /usr/lib/lp/postscript/tsol_separator.ps.
Remarque - Pour localiser ou internationaliser les sorties d'imprimante, consultez les commentaires dans le fichier tsol_separator.ps.
Tableau 15-1 Valeurs configurables dans le fichier tsol_separator.ps
|
L'impression étiquetée dans Trusted Extensions s'appuie sur les fonctions d'impression de Solaris. Dans le SE Oracle Solaris, les scripts du modèle d'imprimante gèrent la création de la page de garde. Pour implémenter l'étiquetage, un script de modèle d'imprimante commence par convertir le travail d'impression en un fichier PostScript. Le fichier PostScript est ensuite manipulé pour insérer des étiquettes sur les pages de corps de texte et créer des pages de garde et de fin.
Les scripts de modèle d'imprimante &Solaris peuvent également traduire PostScript dans la langue d'origine d'une imprimante. Lorsqu'une imprimante accepte l'entrée PostScript, Oracle Solaris envoie le travail d'impression à l'imprimante. Lorsqu'une imprimante n'accepte pas l'entrée PostScript, le logiciel convertit le format PostScript en image raster. L'image raster est ensuite convertie au format d'imprimante approprié.
Etant donné que le logiciel PostScript est utilisé pour imprimer les informations d'étiquettes, par défaut, les utilisateurs ne peuvent pas imprimer de fichiers PostScript. Cette restriction empêche un programmeur PostScript expérimenté de créer un fichier PostScript modifiant les étiquettes sur les sorties d'imprimante.
Le rôle d'administrateur de sécurité peut passer outre à cette restriction en assignant l'autorisation Print Postscript à des comptes de rôles et à des utilisateurs dignes de confiance. L'autorisation n'est assignée que s'il est certain que le compte concerné n'usurpera pas les étiquettes sur les sorties d'imprimante. En outre, l'octroi à un utilisateur de l'autorisation d'imprimer des fichiers PostScript doit être compatible avec la stratégie de sécurité du site.
Un script de modèle d'imprimante permet à un modèle d'imprimante particulier de fournir des pages de garde et de fin. Trusted Extensions fournit quatre scripts :
tsol_standard : pour les imprimantes PostScript directement reliées, par exemple, via un port parallèle
tsol_netstandard : pour les imprimantes PostScript accessibles via le réseau
tsol_standard_foomatic : pour les imprimantes directement reliées qui n'impriment pas le format PostScript
tsol_netstandard_foomatic : pour les imprimantes accessibles via le réseau qui n'impriment pas le format PostScript
Les scripts foomatic sont utilisés lorsqu'un nom de pilote d'imprimante commence par Foomatic. Les pilotes Foomatic sont des pilotes d'imprimante PostScript (PPD).
Remarque - Lorsque vous ajoutez une imprimante à une zone étiquetée, "Utiliser PPD" est spécifié par défaut dans le Gestionnaire d'impression. Un fichier PPD est ensuite utilisé pour traduire les pages de garde et de fin dans la langue de l'imprimante.
Un filtre de conversion convertit des fichiers texte au format PostScript. Les programmes du filtre sont des programmes de confiance exécutés par le démon d'imprimante. Les fichiers convertis au format PostScript par n'importe quel programme de filtrage installé offrent la garantie de présenter des étiquettes et des textes de page de garde et de fin authentiques.
Oracle Solaris fournit la plupart des filtres de conversion requis par un site. Le rôle d'administrateur système d'un site peut installer des filtres supplémentaires. L'authenticité des étiquettes et des pages de garde et de fin de ces filtres est garantie. Pour ajouter des filtres de conversion, reportez-vous au Chapitre 7, Customizing LP Printing Services and Printers (Tasks) du manuel System Administration Guide: Printing.
Les systèmes Trusted Solaris 8 et Trusted Extensions contenant des fichiers label_encodings compatibles et s'identifiant mutuellement à l'aide d'un modèle CIPSO peuvent s'utiliser l'un l'autre pour l'impression à distance. Le tableau suivant décrit la configuration requise des systèmes pour permettre l'impression. Par défaut, les utilisateurs ne peuvent pas lister ou annuler les travaux d'impression d'un serveur d'impression distant exécutant l'autre système d'exploitation. Si vous le souhaitez, vous pouvez autoriser des utilisateurs à le faire.
|
Les commandes utilisateur suivantes sont étendues pour être conformes à la stratégie de sécurité Trusted Extensions :
cancel : l'appelant doit disposer d'une étiquette égale à l'étiquette du travail d'impression pour annuler une tâche. Par défaut, les utilisateurs standard ne peuvent annuler que leurs propres travaux.
lp : Trusted Extensions ajoute l'option -o nolabels. Les utilisateurs doivent être autorisés à imprimer sans étiquette. De même, les utilisateurs doivent être autorisés à utiliser l'option -o nobanner.
lpstat : l'appelant doit disposer d'une étiquette égale à l'étiquette du travail d'impression pour obtenir l'état du travail. Par défaut, les utilisateurs standard ne peuvent consulter que leurs propres travaux d'impression.
Les commandes administratives suivantes sont étendues pour être conformes à la stratégie de sécurité Trusted Extensions. Comme dans le SE Oracle Solaris, ces commandes ne peuvent être exécutées que par un rôle comprenant le profil de droits Printer Management (gestion des imprimantes).
lpmove : l'appelant doit disposer d'une étiquette égale à l'étiquette du travail d'impression pour modifier un travail. Par défaut, les utilisateurs standard peuvent déplacer leurs propres travaux d'impression.
lpadmin : dans la zone globale, cette commande fonctionne pour tous les travaux. Dans une zone étiquetée, l'appelant doit dominer l'étiquette du travail d'impression pour visualiser un travail, et disposer d'une étiquette égale pour modifier un travail.
Trusted Extensions ajoute des scripts de modèles d'imprimante à l'option -m. Trusted Extensions ajoute l'option -o nolabels.
lpsched : dans la zone globale, cette commande aboutit toujours. Comme dans le SE Oracle Solaris, utilisez la commande svcadm pour activer, désactiver, démarrer ou redémarrer le service d'impression. Dans une zone étiquetée, l'appelant doit avoir une étiquette égale à celle du service d'impression pour modifier ce dernier. Pour plus d'informations sur l'utilitaire de gestion des services, reportez-vous aux pages de manuel smf(5), svcadm(1M) et svcs(1).
Trusted Extensions ajoute l'autorisation solaris.label.print au profil de droits Printer Management (Gestion des imprimantes). L'autorisation solaris.print.unlabeled est requise pour imprimer des pages de corps de texte sans étiquette.