Разрешение доступа к CUPS для доменного пользователя

0

1

Подскажите, пожалуйста, направление поиска решения такой проблемы: Необходимо разрешить доменному пользователю настраивать свой CUPS, чтобы самостоятельно добавлять принтеры. В конфигурации /etc/cups/cups-files.conf прописано дефолтно: SystemGroup = lpadmin. Но если пользователю добавлять эту локальную группу «lpadmin» через механизм pam_group.so, то доступа всё равно нет (по id группа точно видна). Можно добавить одну из доменных групп пользователя в эту строку: SystemGroup = lpadmin DOMAIN\users, тогда доступ появляется. Непонятно почему группа есть, но CUPS ей не доверяет?

Ссылка

←	Резервирование каналов

SYN flooding и падение сервака

→

pam_group модифицирует креды залогиненного пользователя (т.е. его процессов). Если CUPS выполняет проверку сам «а входит ли такой-то пользовтаель в группу?», то конечно такая проверка не пройдет.

bigbit ★★★★★
(24.11.22 21:05:47 MSK)

Ответ на: комментарий от bigbit 24.11.22 21:05:47 MSK

то конечно такая проверка не пройдет.

А зачем тогда вы мне посоветовали это сделать? 🙄

raspopov: способ реагировать на аутентификацию такого пользователя и каким-то скриптом добавлять его в группу

bigbit: man pam_group

raspopov ★
(24.11.22 21:55:39 MSK) автор топика

Ответ на: комментарий от raspopov 24.11.22 21:55:39 MSK

Потому что это именно то, что вы просили :-)

А c CUPS я не работал, и как он определяет членство в группе я не знаю.

bigbit ★★★★★
(24.11.22 22:02:39 MSK)

Ссылка

Что мешает прописать доменного пользователя в нужную группу в /etc/group ?

VovanE ★
(25.11.22 05:20:22 MSK)

Ответ на: комментарий от VovanE 25.11.22 05:20:22 MSK

Что мешает прописать доменного пользователя в нужную группу в /etc/group ?

Каким образом? usermod? Кто его вызовет при логине нового доменного пользователя с необходимой доменной группой? Кто удалит пользователя, когда у него отберут членство в доменной группе администраторов печати?

raspopov ★
(25.11.22 06:42:37 MSK) автор топика

Ответ на: комментарий от raspopov 25.11.22 06:42:37 MSK

Каким образом? usermod? Кто его вызовет при логине нового доменного пользователя с необходимой доменной группой? Кто удалит пользователя, когда у него отберут членство в доменной группе администраторов печати?

В вопросе этих условий не было.

Необходимо разрешить доменному пользователю настраивать свой CUPS, чтобы самостоятельно добавлять принтеры.

Добавление пользователя в группу это решает.

Если нужно разрешить настраивать CUPS всем членам доменной группы, попробуйте указать в SystemGroup доменную группу (не знаю, сработает ли, расскажете…).

Если хотите автоматизировать добавление пользователя в локальную группу при логине, посмотрите в сторону pam_exec.

VovanE ★
(25.11.22 07:48:29 MSK)

Ссылка

делайте группу домена для настройки cups и добавляйте доменную группу, если это работает то почему не пользоваться?!

anonymous2 ★★★★★
(25.11.22 13:33:18 MSK)

Ответ на: комментарий от anonymous2 25.11.22 13:33:18 MSK

если это работает то почему не пользоваться?!

Возможно потому, что системное администрирование не является шаманством.

Работает, но должно работать и в другом случае.

А так же CUPS должен автоматически пользоваться Kerberos для сетевых принтеров на Windows-серверах, но вместо этого он просит пароль при каждой печати. Явно чего-то не настроено, и не работает из коробки.

raspopov ★
(26.11.22 15:18:46 MSK) автор топика

Ответ на: комментарий от raspopov 26.11.22 15:18:46 MSK

Возможно потому, что системное администрирование не является шаманством.

возможно сисадмины начинают с LogLevel debug ?

anonymous2 ★★★★★
(27.11.22 08:47:06 MSK)
Последнее исправление: anonymous2 27.11.22 08:47:18 MSK (всего исправлений: 1)

Ссылка

А потом ещё купить принтер совместимый с cups, да? Я самсунг м2070 никак не завёл, ppd файлы для него все левые. С сайта скачивается какой то суповой набор из бинарников и скриптов, и работает же, зараза

DumLemming ★★★
(27.11.22 16:55:39 MSK)