Drucker-Deployment für Räume durch CUPS

[Natureshadow]

Hallo,

ich habe folgendes Setup:

- mehrere Netzwerk (IPP-)Drucker in verschiedenen Räumen, nennen wir sie r60-lp1 und r2-lp1
- zwei Subnetze in diesen Räumen, 172.30.60.0/24 und 172.30.2.0/24
- die Drucker im Subnetz 192.168.7.0/24
- einen Printserver (CUPS), der aus den beiden Raum-Subnetzen erreichbar ist und die beiden Drucker eingerichtet hat (CUPS kann dort drucken)

Das Setup sieht etwas merkwürdig aus, hat aber seinen Sinn.

Nun möchte ich, dass nur Clients aus dem Subnetz 172.30.60.0/24 den Drucker r60-lp1 (im CUPS) nutzen dürfen, und nur Clients aus dem Subnet 172.30.2.0/24 den r2-lp1.

Wie lässt sich das "schön" implementieren? Manuell Zugriffsrechte in /etc/cups/cupsd.conf setzen geht zwar, aber "schön" ist halt anders.

Noch besser wäre eine Lösung, bei der es im CUPS nur einen Drucker (lp) im CUPS gibt und anhand des Subnets des Clients automatisch der richtige Drucker gewählt wird.

Wem fällt dazu etwas ein?

Grüße,
Nik

[feldmaus]

Hi natureshadow,

bin zwar kein Profi was Cups angeht, aber ich hätte das über locations probiert:

Code: Alles auswählen

Listen 127.0.0.1:631

Browsing On
BrowseOrder deny,allow

Listen /var/run/cups/cups.sock

<Location /printers/r60-lp1>
  Listen 172.30.60.0/24

  BrowseDeny from all
  BrowseAllow 172.30.60.0/24   # to get new printers only from your network???
  BrowseAddress 172.30.60.0/24 # to publish the printers on your server to your network

  AuthType Default
  Require user @SYSTEM
  Order deny,allow
  Deny from All
  Allow 172.30.60.0/24
</Location>

<Location /printers/r2-lp1>
 . . .
</Location>

Und halt nochmal eine zweite Location für deine zweite Zone. Keine Garantie ob das funktioniert. bei der Authentifizierung bin ich mir nicht sicher, wie man das am besten machen sollte.

Grüße Markus

[Natureshadow]

Hi feldmaus,

danke, aber:

Manuell Zugriffsrechte in /etc/cups/cupsd.conf setzen geht zwar, aber "schön" ist halt anders.

Mit der ersten Zeile deiner Config sollte alelrdings gar kein Netzwerkzugriff möglich sein, wenn ich die richtig lese ? Die Listen-Direktive in der <Location ...> macht dann syntaktisch gar keinen Sinn mehr.

-nik

[feldmaus]

Hi Natureshadow,

ja mein Beispiel ist ein wenig verzwickt. es bedeutet. Alle Druck-Jobs die auf dem Server selber abgeschickt werden sollen akzeptiert werden. Für Druck-Jobs die aus einem deiner beiden Zonen kommen habe ich zwei Locations erstellt. Mein Netzwerk sieht viel einfacher aus, als was Du da vor hast, daher weiß ich nicht ob das klappt. Probieren geht über Studieren. Aus der Cups Docu werde ich leider auch nicht schlauer. Dort gibt es aber ein Beispiel, dass zeigt das Locations für Drucker verwendet werden können. http://localhost:631/help/ref-cupsd-con ... =#Location

Code: Alles auswählen

<Location /printers/name>
...
</Location>

Grüße Markus

[Natureshadow]

Hi,

ja, natürlich geht das. Aber der CUPS kann keine VHosts so wie Apache, d.h. das Allow from macht zwar Sinn, aber das Listen ist Quatsch.

Und einen Socket auf einem Subnet aufzumachen ist auch ziemlich optimistisch ...

-nik

[feldmaus]

Hi,

ja, natürlich geht das. Aber der CUPS kann keine VHosts so wie Apache, d.h. das Allow from macht zwar Sinn, aber das Listen ist Quatsch.

Und einen Socket auf einem Subnet aufzumachen ist auch ziemlich optimistisch ...

-nik

Probieren geht über Studieren, wenn Du es ausprobiert hast, kannst ja mal posten ob es geht.

Grüße Markus

[Natureshadow]

Hi,

Probieren geht über Studieren, wenn Du es ausprobiert hast, kannst ja mal posten ob es geht.

ohne mich hier streiten zu wollen .... man könnte ja meinen, dass du diese Config schon getestet hast, wenn du sie hier als Lösungsvorschlag postest.

Ich persönlich werde jedenfalls meine Serverdienste nicht kaputt konfigurieren, nur weil in einem Forum steht ich solle das tun.

Also nochmal: Die oben gepostete Config funktioniert nicht, weil

• die Listen-Direktive in einem <Location>-Block nicht erlaubt ist (und auch sinnlos ist) [1]
• Ein Socket auf einem Interface lauscht und damit an eine Adresse gebunden ist, nicht an ein Subnet (=> Syntaxfehler) [1]

Die gepostete Config ist also bestenfalls Pseudo-Code für einen möglichen Lösungsansatz - und zwar den gleichen, den ich schon im ersten Post vorgeschalgen (und mit der Anmerkung, dass ich etwas anderes suche verworfen) habe. Natürlich ist der Ansatz mit den Allow/Deny-Direktiven damit korrekt - aber wie gesagt redundant.

Also, die Config von feldmaus vergessen wir jetzt mal und widmen uns wieder der Suche nach korrekten Lösungen, ok ?

-nik

P.S.: Natürlich bin ich für jeden Lösungsvorschlag dankbar, aber sorry, im dritten Anlauf sollte auch ein freundlicher Helfer sich davon überzeugen lassen, dass sein Vorschlag falsch ist.

[1] http://www.cups.org/documentation.php/r ... -conf.html