Cups Zugriffsbeschränkung *gelöst*

[weshalb]

Hallo, ich habe einen Druckserver eingerichtet und kann auf die Drucker innerhalb des Netzes und von außerhalb über das Internet (via http)zugreifen.

Ich würde den Zugriff über das Internet zum einen gerne verschlüsseln und zum anderen mit einem Passwort versehen.

Ich bin zwar schon über die eine oder andere Einstellung gestolpert (erlaubte Benutzer über das Webfrontend festgelegt, in der Konfig Require valid-user), doch irgendwie kann ich mich nach wie vor jederzeit ohne Zugriffsbeschränkung mit sämtlichen Druckern verbinden.

Hat jemand einen Tip oder liege ich völlig falsch?

[pferdefreund]

port 631 von aussen dicht machen per Firewall und gut ist.

[weshalb]

port 631 von aussen dicht machen per Firewall und gut ist.

Dann kann ich ja von außerhalb nicht mehr drucken oder wie meintest du das?

[MSfree]

Dann kann ich ja von außerhalb nicht mehr drucken?

Richtig, und das ist auch gut so.

Es ist keine gute Idee, dein LAN von aussen zugänglich zu machen. Für Aussendienstler, die Zugriff auf dein Netz haben müssen, gibt es VPN-Lösungen. Eine Art VPN-Light kann man sogar einfach mit SSH und Portforwarding realisieren, wenn einem etwas wie OpenVPN zu kompliziert ist.

[eggy]

über das Internet (via http)zugreifen.

Dir ist klar, dass HTTP unverschlüsselt ist?

Dann frag Dich mal:
a) sind die Anmeldedaten sicher?
b) kann jemand meine Druckaufträge mitlesen?
...
z) wäre ein VPN nicht vielleicht die bessere Idee?

[weshalb]

über das Internet (via http)zugreifen.

Dir ist klar, dass HTTP unverschlüsselt ist?

Dann frag Dich mal:
a) sind die Anmeldedaten sicher?
b) kann jemand meine Druckaufträge mitlesen?
...
z) wäre ein VPN nicht vielleicht die bessere Idee?

Deshalb fing ich bereits an, mit den "Einstellungen" zu spielen.

Als erstes: Umstellung auf https >

Von Linuxclients aus kann ich mich somit schonmal über Internet mittels https://server:631/printers/druckername
mit dem Drucker verbinden. Allerdings schmeißt mir Cups sowas raus:

E [20/Jul/2018:11:48:49 +0200] [Client 186]Unable to encrypt connection: An unexpected TLS packet was received.
E [20/Jul/2018:11:49:55 +0200] [Client 190] Returning IPP client-error-not-authorized for Create-Job (https://Servername:631/printers/druckername) from 87.188.36.251

Von Windowsclients aus kann man sich nur über http verbinden (schlecht!)


Ich finde auch irgendwie keinen Weg in Cups, um eine Authentifizierung via Anmeldename und Passwort oder dergleichen zu erzwingen. Begrenze ich beispielsweie innerhalb der cupsd.conf mit:

SSLPort 631
ServerAlias *
ServerCertificate /etc/cups/ssl/server.crt
ServerKey /etc/cups/ssl/server.key
Listen /var/run/cups/cups.sock
Browsing On
BrowseLocalProtocols dnssd
DefaultEncryption IfRequested
DefaultAuthType Basic
WebInterface Yes


<Location />
Require valid-user>>>>>>>>>>>>>das sollte in meinen Augen reichen
Order allow,deny
</Location>

und lege in der Webmaske die erlaubten Nutzer an, kann ich überhaupt nicht mehr auf die Drucker per Web zugreifen.

Auch sowas wie

Allow@Benutzername

brachte keinen Erfolg.

Kann es sein, dass Cups solche Funktionen zur Authentifikation gar nicht bereitstellt? Man findet auch irgendwie nichts dazu. Zwar gibt es einen unübersichtlichen Kram zu SSL und Authentifizierungen, doch ich finde kein einziges hilfreiches Fallbeispiel.

Ich denke, ihr habt Recht. Wahrscheinlich ist es tatsächlich besser, ein VPN zum entfernten Drucken einzurichten, als sich diesen unausgegorenen Murks anzutun.

[weshalb]

Und da es mir doch keine Ruhe gelassen hatte, setzte ich mich nochmals ran und habe alles so hinbekommen, wie gewollt.

Https-Zugriff von sämtlichen Maschinen plus Userverwaltung (ein Druckuser ohne Home und Bash). Die Administration geht nur von local bzw. aus dem internen Lan. Das alles verpackt in einer VM, die nicht anderes macht, als die Drucker freizugeben.

VPN werde ich mir trotzdem nochmal anschauen.