ich habe da ein problem mit dem zusammenspiel von kerberos/ldap und cups:
alle beteiligten rechner laufen auf debian 8.5; ein dns server und statische dhcp machen namensanfragen auflösbar.
die accounts und gruppen werden mittels ldap verteilt, ebenso sudoers. authentifizierung übernimmt kerberos (keytab ist überall eingerichtet). soweit so gut. jetzt habe ich das problem, dass system-config-printer trotz cups-pk-helper und dem folgenden snippet nach dem passwort von root fragt (s. https://bugs.debian.org/cgi-bin/bugrepo ... bug=698504)
in /etc/polkit-1/localauthority/10-vendor.d/org.opensuse.cupspkhelper.pkla :
Code: Alles auswählen
[Adding or changing system-wide CUPS settings]
Identity=unix-group:lpadmin;unix-group:sudo
Action=org.opensuse.cupspkhelper.mechanism.*
ResultAny=no
ResultInactive=no
ResultActive=yes
entsprechende einstellung in cups-files.conf lässt @SYSTEM nach lpadmin auflösen
die einzelnen ldap-accounts werden per /etc/security/groups.conf und der zeile
Code: Alles auswählen
*;*;%ldapusers;Al0000-2400;audio,cdrom,users,floppy,dialout,lpadmin
leider scheint cups auch die einstellung von AuthType=Negotiate zu ignorieren. trotz gültigem kerberos-ticket und der gültigen krb5 keytab, verweigert der druckserver zugang auf's web admin interface...
bin mir unsicher ob, ich evtl. was vergessen habe, vllt mag mir ja eine kluge person kurz ein frisches paar augen leihen
ansonsten wäre ich auch für vorschläge eines workarounds, die es den ldap-accounts erlauben cups (auf dem jeweiligen host) zu managen.