Cups Zugriffsbeschränkung *gelöst*

Einrichten des Druckers und des Drucksystems, Scannerkonfiguration und Software zum Scannen und Faxen.
Antworten
Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Cups Zugriffsbeschränkung *gelöst*

Beitrag von weshalb » 19.07.2018 23:29:20

Hallo, ich habe einen Druckserver eingerichtet und kann auf die Drucker innerhalb des Netzes und von außerhalb über das Internet (via http)zugreifen.

Ich würde den Zugriff über das Internet zum einen gerne verschlüsseln und zum anderen mit einem Passwort versehen.

Ich bin zwar schon über die eine oder andere Einstellung gestolpert (erlaubte Benutzer über das Webfrontend festgelegt, in der Konfig Require valid-user), doch irgendwie kann ich mich nach wie vor jederzeit ohne Zugriffsbeschränkung mit sämtlichen Druckern verbinden.

Hat jemand einen Tip oder liege ich völlig falsch?
Zuletzt geändert von weshalb am 21.07.2018 20:18:56, insgesamt 1-mal geändert.

pferdefreund
Beiträge: 3791
Registriert: 26.02.2009 14:35:56

Re: Cups Zugriffsbeschränkung

Beitrag von pferdefreund » 20.07.2018 08:47:19

port 631 von aussen dicht machen per Firewall und gut ist.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Cups Zugriffsbeschränkung

Beitrag von weshalb » 20.07.2018 08:52:01

pferdefreund hat geschrieben: ↑ zum Beitrag ↑
20.07.2018 08:47:19
port 631 von aussen dicht machen per Firewall und gut ist.
Dann kann ich ja von außerhalb nicht mehr drucken oder wie meintest du das?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Cups Zugriffsbeschränkung

Beitrag von MSfree » 20.07.2018 09:13:21

weshalb hat geschrieben: ↑ zum Beitrag ↑
20.07.2018 08:52:01
Dann kann ich ja von außerhalb nicht mehr drucken?
Richtig, und das ist auch gut so.

Es ist keine gute Idee, dein LAN von aussen zugänglich zu machen. Für Aussendienstler, die Zugriff auf dein Netz haben müssen, gibt es VPN-Lösungen. Eine Art VPN-Light kann man sogar einfach mit SSH und Portforwarding realisieren, wenn einem etwas wie OpenVPN zu kompliziert ist.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Cups Zugriffsbeschränkung

Beitrag von eggy » 20.07.2018 09:18:06

weshalb hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 23:29:20
über das Internet (via http)zugreifen.
Dir ist klar, dass HTTP unverschlüsselt ist?

Dann frag Dich mal:
a) sind die Anmeldedaten sicher?
b) kann jemand meine Druckaufträge mitlesen?
...
z) wäre ein VPN nicht vielleicht die bessere Idee?

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Cups Zugriffsbeschränkung

Beitrag von weshalb » 20.07.2018 12:52:40

eggy hat geschrieben: ↑ zum Beitrag ↑
20.07.2018 09:18:06
weshalb hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 23:29:20
über das Internet (via http)zugreifen.
Dir ist klar, dass HTTP unverschlüsselt ist?

Dann frag Dich mal:
a) sind die Anmeldedaten sicher?
b) kann jemand meine Druckaufträge mitlesen?
...
z) wäre ein VPN nicht vielleicht die bessere Idee?
Deshalb fing ich bereits an, mit den "Einstellungen" zu spielen.

Als erstes: Umstellung auf https >

Von Linuxclients aus kann ich mich somit schonmal über Internet mittels https://server:631/printers/druckername
mit dem Drucker verbinden. Allerdings schmeißt mir Cups sowas raus:
E [20/Jul/2018:11:48:49 +0200] [Client 186]Unable to encrypt connection: An unexpected TLS packet was received.
E [20/Jul/2018:11:49:55 +0200] [Client 190] Returning IPP client-error-not-authorized for Create-Job (https://Servername:631/printers/druckername) from 87.188.36.251

Von Windowsclients aus kann man sich nur über http verbinden (schlecht!)


Ich finde auch irgendwie keinen Weg in Cups, um eine Authentifizierung via Anmeldename und Passwort oder dergleichen zu erzwingen. Begrenze ich beispielsweie innerhalb der cupsd.conf mit:
SSLPort 631
ServerAlias *
ServerCertificate /etc/cups/ssl/server.crt
ServerKey /etc/cups/ssl/server.key
Listen /var/run/cups/cups.sock
Browsing On
BrowseLocalProtocols dnssd
DefaultEncryption IfRequested
DefaultAuthType Basic
WebInterface Yes


<Location />
Require valid-user>>>>>>>>>>>>>das sollte in meinen Augen reichen
Order allow,deny
</Location>
und lege in der Webmaske die erlaubten Nutzer an, kann ich überhaupt nicht mehr auf die Drucker per Web zugreifen.

Auch sowas wie
Allow@Benutzername
brachte keinen Erfolg.

Kann es sein, dass Cups solche Funktionen zur Authentifikation gar nicht bereitstellt? Man findet auch irgendwie nichts dazu. Zwar gibt es einen unübersichtlichen Kram zu SSL und Authentifizierungen, doch ich finde kein einziges hilfreiches Fallbeispiel.

Ich denke, ihr habt Recht. Wahrscheinlich ist es tatsächlich besser, ein VPN zum entfernten Drucken einzurichten, als sich diesen unausgegorenen Murks anzutun.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Cups Zugriffsbeschränkung

Beitrag von weshalb » 21.07.2018 20:18:25

Und da es mir doch keine Ruhe gelassen hatte, setzte ich mich nochmals ran und habe alles so hinbekommen, wie gewollt.

Https-Zugriff von sämtlichen Maschinen plus Userverwaltung (ein Druckuser ohne Home und Bash). Die Administration geht nur von local bzw. aus dem internen Lan. Das alles verpackt in einer VM, die nicht anderes macht, als die Drucker freizugeben.

VPN werde ich mir trotzdem nochmal anschauen.

Antworten