Skip Ribbon Commands
Skip to main content

RHEL-7-Fedora-22-kerberos

Druckereinrichtung unter Fedora/RHEL mit Kerberos

1 Vorwort

Zum Drucken via Kerberos stellen die Informatikdienste ein eigenes Cups backend zur Verfügung.
Die Anleitung bezieht sich in erster Linie auf gemanagte multiuser Rechner:

Der Administrator verwaltet mehrere Rechner.
Die Anleitung ist so aufgebaut, das die einzelnen Schritte in ein Script eingebaut werden können.

2 Voraussetzungen

Der Administrator verfügt über root Rechte.
Die Benutzer-Anmeldung am Rechner sollte bereits mit Active-Directory erfolgen.
Die Anbindung an das Active-Directory ist in folgender Anleitung beschrieben:

https://cd-portal.sp.ethz.ch/linux/Wiki/Authentisierung%20mit%20sssd.aspx

3 Version des Betriebssystems

Die Version kann mit folgendem Kommando überprüft werden:

$ cat /etc/os-release

4 Cups backend smbethz installieren

Das Cups backend smbethz downloaden und in das richtige Verzeichnis kopieren:

$ su -c 'wget https://printing.sp.ethz.ch/ethps/SiteAssets/SitePages/RHEL-7-Fedora-22-kerberos/smbethz -O /usr/lib/cups/backend/smbethz'

Die Zugriffsrechte und den Besitzer setzen:

$ su -c 'chmod 700 /usr/lib/cups/backend/smbethz'
$ su -c 'chown root:root /usr/lib/cups/backend/smbethz'

5 Neuen Drucker mit Backend einrichten

5.1 Geräte URI

Für unseren Setup wird folgendes Format verwendet:

smbethz://<printserver>/<printqueue>

Zum Beispiel:

smbethz://pia01.d.ethz.ch/p-stbh-02

Eine Liste der verfügbare Drucker gibt es unter:

https://pia01.d.ethz.ch (Zentrum)
https://pia02.d.ethz.ch (Hönggerberg)

5.2 PPD installieren

Unter ’openprinting.org’ können PPD gesucht und als Paket installiert werden.
In dieser Anleitung installieren wir das PPD für einen ’Ricoh MPC 3003’.

$ su -c 'rpm -ip http://www.openprinting.org/download/printdriver/components/lsb3.2/main/RPMS/noarch/openprinting-ppds-postscript-ricoh-20140829-1lsb3.2.noarch.rpm'

Das PPD wird dann abgelegt unter:

/opt/OpenPrinting-Ricoh/ppds/Ricoh/Ricoh-MP_C3003-Postscript-Ricoh-en.ppd.gz

5.3 Drucker Installation starten

Die Installation erfolgt nach folgendem Schema:

lpadmin -p <NAME> -v smbethz://<SERVER>/<PRINTER> -E -P <PATH-TO-PPD> -D <NAME> -L <LOCATION> -o printer-is-shared=false -o auth-info-required=negotiate

In unserem Beispiel wäre das:

$ su -c 'lpadmin -p Ricoh3003 -v smbethz://pia01.d.ethz.ch/p-stbh-02 -E -P /opt/OpenPrinting-Ricoh/ppds/Ricoh/Ricoh-MP_C3003-Postscript-Ricoh-en.ppd.gz -D Ricoh3003 -L STBH -o printer-is-shared=false -o auth-info-required=negotiate'

6 Testen

Einen Testjob als authentisierter Benutzer schicken (also nicht als root):

$ echo -e '%!PS-Adobe-1.0\n /Helvetica findfont 200 scalefont setfont 100 100 moveto (Test) show showpage' | lpr -P Ricoh3003

7 SELinux Policy

Bei aktiviertem SELinux muss eine entsprechende Policy-Erweiterung erstellt werden.
Die Policy-Erweiterung ist in folgender Anleitung beschrieben:

https://cd-portal.sp.ethz.ch/linux/Wiki/SELinux%20Basics.aspx

Zum Testen kann die Policy folgendermassen abgestellt werden:

$ su -c 'setenforce 0'

8 Unnötige Authentisierungsmeldung unter Fedora 21

Falls eine unnötige Meldung auftaucht, kann diese mit einem Patch entfernt werden.
Mit folgendem Kommando wird die Datei ’/etc/yum.repos.d/print-auth.repo’ erstellt:

$ echo -e '[print-auth]
name=Print Auth $releasever - $basearch
baseurl=http://files.intevation.de/projects/print-auth/kerberos/$releasever
enabled=1
gpgcheck=1
gpgkey=http://files.intevation.de/projects/print-auth/kerberos/$releasever/\c' >/etc/yum.repos.d/print-auth.repo; echo -e 'repodata/repomd.xml.key' >>/etc/yum.repos.d/print-auth.repo

Und dann updaten:

$ su -c 'yum update'

9 Fehlermeldung in RHEL

Bei der Fehlermeldung '/usr/lib/cups/filter/foomatic-rip not available' im Log '/var/log/cups/error_log' muss folgendes Paket nachinstalliert werden:

$ su -c 'yum install foomatic'