13.3.

CUPS - Servidor de impresin

El mecanismo principal de impresin y de servicios de impresin en Ubuntu es el Sistema Comn de Impresin para UNIX ( Common UNIX Printing System, o CUPS). Este sistema de impresin es una capa de impresin libre y portable, y se ha convertido en el nuevo estndar para impresin en la mayora de las distribuciones de Linux. CUPS gestiona los trabajos y tareas de impresin, y proporciona impresin de red utilizando el Protocolo estndar de Impresin en Internet (IPP), que dispone de soporte para una gran gama de impresoras, desde matriciales hasta lser. CUPS tambin soporta PostScript Printer Description (PPD) y autodeteccin de impresoras de red, y dispone de una sencilla herramienta basada en web para la configuracin y administracin. 13.3.1. Instalacin Para instalar CUPS en su equipo Ubuntu, simplemente use sudo con el comando apt-get y proporcione como primer parmetro el nombre de los paquetes a instalar. Una instalacin completa de CUPS tiene muchas dependencias de paquetes, pero pueden especificarse todas ellas en la misma lnea de comandos. Introduzca lo siguiente en la lnea de rdenes de una terminal para instalar CUPS: sudo apt-get install cups Tras autenticarse con su clave de usuario, los paquetes deben descargarse e instalarse sin errores. Al concluir la instalacin, el servidor CUPS se iniciar automticamente. Para resolver problemas, puede acceder a los mensajes de error del servidor CUPS mediante el archivo de registro de errores en: /var/log/cups/error_log. Si el registro de errores no muestra suficiente informacin para resolver cualquier problema que encuentre, el nivel de detalle del registro de CUPS puede incrementarse cambiando la directiva LogLevel en el archivo de configuracin (tratado ms abajo) al valor "debug" o incluso "debug2", que registrar todos los detalles, desde el valor por omisin "info". Si hace este cambio, recuerde cambiar al valor anterior una vez que haya resuelto sus problemas para evitar que el archivo de registro crezca de forma desmesurada. 13.3.2. Configuracin El comportamiento del servidor CUPS se configura a travs de las directivas contenidas en el archivo /etc/cups/cupsd.conf. El archivo de configuracin de CUPS tiene la misma sintaxis que el archivo principal de configuracin del servidor HTTP Apache, por lo que los usuarios acostumbrados a editar el archivo de configuracin de Apache se sentirn como en su casa cuando editen el archivo de configuracin de CUPS. Se presentarn aqu algunos ejemplos de opciones que usted puede desear cambiar inicialmente. Sugerencia Antes de editar un fichero de configuracin, debe hacer una copia del archivo original y protegerla contra escritura, as tendr la configuracin original como referencia, y podr reusarla si fuera necesario. Copie el archivo /etc/cups/cupsd.conf y protejalo contra escritura con los siguientes comandos, introduzcalos en un terminal: sudo cp /etc/cups/cupsd.conf /etc/cups/cupsd.conf.original

sudo chmod a-w /etc/cups/cupsd.conf.original

o

ServerAdmin: Para configurar la direccin de correo electrnico del administrador del servidor CUPS, simplemente edite el archivo de configuracin /etc/cups/cupsd.confcon su editor de textos preferido, y aada o modifique convenientemente la lneaServerAdmin. Por ejemplo, si usted es el administrador del servidor CUPS, y su direccin de correo electrnico es bjoy@somebigco.com, entonces deber modificar la lnea ServerAdmin para que aparezca as: ServerAdmin bjoy@somebigco.com Listen: De forma predeterminada en Ubuntu, la instalacin del servidor CUPS escucha slo por la interfaz de bucle (loopback) en la direccin IP 127.0.0.1. Para hacer que el servidor CUPS escuche por la direccin IP del adaptador de red, deber especificar un nombre de host, una direccin IP, o bien, un par direccin IP / puerto mediante el uso de la directiva Listen. Por ejemplo, si su servidor CUPS reside en una red local en la direccin IP 192.168.10.250 y desea hacerlo accesible a otros sistemas de su subred, debe esditar el archivo/etc/cups/cupsd.conf y aadir una directiva Listen, de esta forma: Listen 127.0.0.1:631 # existing loopback Listen Listen /var/run/cups/cups.sock # existing socket Listen Listen 192.168.10.250:631 # Listen on the LAN interface, Port 631 (IPP)

o o

o o o

En el ejemplo anterior, debe comentar o borrar la referencia a la direccin de loopback (127.0.0.1) si no desea que cupsd escuche por esa interfaz, sino slo por la interfaz Ethernet de la red local (LAN). Para activar la escucha por todas las interfases de red en las que se haya establecido un nombre de host, incluyendo el loopback, debera crear una entrada listen para el nombre de host socrates as: Listensocrates:631#Escuchando en todos los interfaces para la mquina'socrates' o omitiendo la directiva Listen y usando Port en su lugar, como en: Port 631 # Escuchando en el puerto 631 en todos los interfaces Para ms ejemplos de directivas de configuracin en el archivo de configuracin del servidor CUPS, vea la pgina de manual asociada introduciendo el siguiente comando en un terminal: man cupsd.conf Nota Una vez haya realizado cambios en el archivo de configuracin/etc/cups/cupsd.conf, necesitar reiniciar el servidor CUPS tecleando la siguiente orden en la lnea de rdenes de una terminal: sudo /etc/init.d/cups restart 13.3.3. Interfaz web Sugerencia CUPS se puede configurar y monitorizar usando una interfaz web, que est disponible de manera predeterminada en http://localhost:631/admin. La interfaz web se puede usar para hacer todas las tareas de gestin de impresin.

Para poder llevar a cabo tareas administrativas mediante la interfaz web, deber activar la cuenta de root en su servidor, o bien autenticarse como un usuario que pertenezca al grupo lpadmin. Por razones de seguridad, CUPS no autenticar a ningn usuario que no tenga contrasea. Para aadir un usuario al grupo lpadmin, ejecute en un terminal: sudo usermod -aG lpadmin username

17.4. Asegurar un servidor Samba de archivos e impresin

17.4.1. Modos de seguridad en Samba Existen dos niveles de seguridad disponibles en el protocolo de red Common Internet Filesystem (CIFS): user-level (a nivel de usuario) y share-level (a nivel de recurso). La implementacin que hace Samba de security mode permite ms flexibilidad, ya que proporciona cuatro formas de implementar la seguridad user-level y una forma de implementar share-level:
o

security = user: exige que los clientes proporcionen un nombre de usuario y una contrasea para conectarse a los recursos compartidos. Las cuentas de usuario de Samba estn separadas de las cuentas del sistema, pero el paquete libpam-smbpass sincroniza las cuentas y contrasea del sistema con la base de datos de usuarios de Samba. security = domain: este modo permite que el servidor Samba se muestre a los clientes Windows como un controlador primario de dominio (Primary Domain Controller, PDC), un controlador secundario de dominio (Backup Domain Controller, BDC) o un servidor de miembros de dominio (Domain Member Server, DMS). Consulte Seccin 17.5, Samba como controlador de dominio para ms informacin. security = ADS: permite que el servidor Samba pueda unirse a un dominio de Active Directory como si fuera un miembro nativo. Consulte Seccin 17.6, Integracin de Samba con Active Directory para ms informacin. security = server: este modo se usaba antes de que Samba pudiera ser un servidor de miembros, pero ahora no debera usarse debido a ciertos problemas de seguridad. Consulte la seccin sobre seguridad del servidor en la gua de Samba para ms informacin. security = share: permite que los clientes puedan conectarse a los recursos compartidos sin necesidad de proporcionar un nombre de usuario y una contrasea.

El modo de seguridad que vaya a elegir depender de su entorno y de lo que necesite que haga su servidor Samba. 17.4.2. Seguridad = Usuario Esta seccin reconfigurar el servidor Samba de archivos e impresin, desde Seccin 17.2, Servidor de archivos Samba hasta Seccin 17.3, Servidor de impresin Samba, para que requiera autenticacin. En primer lugar, instalar el paquete libpam-smbpassapplication>, que sincronizar sudo apt-get install libpam-smbpass Nota

Si seleccione la tarea Servidor Samba durante la instalacin, ya tendr instalado el paquete libpam-smbpass. Edite /etc/samba/smb.conf, y en la seccin [share] cambie: guest ok = no Finalmente, reinicie Samba para que la nueva configuracin tenga efecto: sudo restart smbd sudo restart nmbd Ahora, cuando se conecte a los directorios o impresoras compartidas, se le solicitar un nombre de usuario y una contrasea. Nota Si decide asignar una unidad de red al recurso compartido, puede marcar la casillaVolver a conectar al inicio de sesinquote>, lo que s 17.4.3. Compartir seguridad Hay varias opciones disponibles para aumentar la seguridad de cada directorio compartido en particular. Usando el ejemplo [share], esta seccin cubre algunas opciones comunes. Grupos Los grupos definen una coleccin de equipos o usuarios que tienen un nivel comn de acceso a recursos de red particulares, y proporcionan un nivel de granularidad para controlar el acceso a tales recursos. Por ejemplo, si se define un grupo qa que contiene los usuarios freda, danika y rob, y se define un segundo grupo soporte con los usuarios danika, jeremy y vincent, entonces los recursos de red configurados para permitir el acceso al grupo qa habilitarn en consecuencia el acceso a los usuarios freda, danika y rob, pero no a jeremy ni a vincent. Como el usuario danikapertenece a los dos grupos qa y support simultneamente, podr acceder a los recursos configurados para poder ser accedidos desde ambos grupos, mientras que los dems usuarios slo tendrn acceso a los recursos para los que explcitamente tengan acceso los grupos a los que pertenecen tales usuarios. De forma predeterminada, Samba comprueba los grupos del sistema local registrados en /etc/group para determinar qu usuarios pertenecen a qu grupos. Para ms informacin sobre cmo aadir a y quitar usuarios de ciertos grupos, consulte Seccin 8.1.2, Aadir y eliminar usuarios. Cuando se definen grupos en el archivo de configuracin de Samba, /etc/samba/smb.conf, la sintaxis correcta es anteponer al nombre del grupo el smbolo @. Por ejemplo, si desea definir un grupo llamado sysadmin en una determinada seccin del archivo /etc/samba/smb.conf, podr hacerlo simplemente introduciendo el nombre del grupo como @sysadmin. Permisos de archivo Los permisos de archivos definen los derechos explcitos que un equipo o usuario poseen sobre un directorio, archivo o conjunto de archivos en particular. Tales permisos deben definirse editando archivo el /etc/samba/smb.conf y especificando los permisos explcitos de un recurso compartido concreto.

Por ejemplo, si ha definido un recurso compartido de Samba llamadoshare y desea conceder permisos de slo lectura al grupo de usuarios llamado qa, pero quiere permitir la escritura en el recurso al grupo llamado sysadmin y al usuario llamado vincent, deber editar el archivo /etc/samba/smb.conf y aadir las entradas siguientes a continuacin de la lnea [share]: read list = @qa write list = @sysadmin, vincent Otro permiso que puede usarse en Samba es declarar permisos administrativos sobre un determinado recurso compartido. Los usuarios que posean permisos administrativos podrn leer, escribir o modificar cualquier informacin contenida en el recurso para el que el usuario tenga concedidos permisos administrativos explcitos. Por ejemplo, si desea dar al usuario ana permisos administrativos para el recurso share, deber editar el archivo /etc/samba/smb.conf y aadir la siguiente lnea bajo la entrada [share]: admin users = ana Despus de editar /etc/samba/smb.conf, reinicie Samba para que los cambios tengan efecto: sudo restart smbd sudo restart nmbd Nota Para que read list y write list funcionen, el modo de seguridad de Samba no debe estar establecido a security = share. Ahora que Samba ha sido configurado para limitar qu grupos tienen acceso al directorio compartido, se necesitan actualizar los permisos del sistema de archivos. Los permisos de archivo tradicionales en Linux no se corresponden bien con las listas de control de acceso (ACLs) de Windows NT. Afortunadamente, los servidores Ubuntu proporcionan ACLs POSIX, lo que ofrece un control ms fino. Por ejemplo, para habilitar ACLs en /srv (un sistema de archivos EXT3), edite /etc/fstab aadiendo la opcin acl: UUID=66bcdd2e-8861-4fb0-b7e4-e61c569fe17d /srv ext3 noatime,relatime,acl 0 Ahora vuelva a montar la particin: sudo mount -v -o remount /srv Nota El ejemplo anterior supone que /srv va en una particin separado. Si /srv (o a donde sea que haya configurado su ruta compartida) forma parte de la particin /, puede que se necesite reiniciar el sistema. Para hacer corresponder la anterior configuracin de Samba, el grupo sysadmin deber tener permisos de lectura, escritura y ejecucin sobre /srv/samba/share, el grupo qa deber tener permisos de lectura y ejecucin, y los archivos debern ser propiedad del usuario ana. Introduzca lo siguiente en un terminal: sudo chown -R ana /srv/samba/share/ sudo chgrp -R sysadmin /srv/samba/share/ 1

sudo setfacl -R -m g:qa:rx /srv/samba/share/ Nota El comando setfacl anterior convede permisos de ejecucin a todos los archivos contenidos en el directorio /srv/samba/share, lo que puede o no ser algo deseado. A partir de ahora, desde un cliente Windows podr comprobar que estn implementados los nuevos permisos de archivos. Consulte las pginas del manual de acl y setfacl para ms informacin sobre las ACLs POSIX. 17.4.4. Perfil Samba AppArmor Ubuntu incorpora el mdulo de seguridad AppArmor, que proporciona controles de acceso obligatorios. Deber adaptar el perfil predeterminado de AppArmor para Samba con objeto de adaptarlo a su configuracin. Para ms informacin sobre cmo usar AppArmor, consulte seeSeccin 8.4, AppArmor. Existen perfiles predeterminados de AppArmor para/usr/sbin/smbd y /usr/sbin/nmbd (los binarios de los demonios de Samba) como parte del paquete apparmor-profiles. Para instalar ese paquete, introduzca en un terminal: sudo apt-get install apparmor-profiles Nota Este paquete contiene perfiles para distintos binarios. De forma predeterminada, los perfiles de smbd y nmbd estn en modo complain, lo que permite a Samba funcionar sin modificar el perfil y registrando slo los errores. Para poner el perfil de smbd en el modo enforce y hacer que Samba funcione como debe, hay que modificar el perfil para que reflejen todos los directorios que se estn compartiendo. Edite /etc/apparmor.d/usr.sbin.smbd y aada la informacin del ejemplo del servidor de archivos en la seccin [share]: /srv/samba/share/ r, /srv/samba/share/** rwkix, Ahora coloque el perfil dentro de enforce y recargue: sudo aa-enforce /usr/sbin/smbd cat /etc/apparmor.d/usr.sbin.smbd | sudo apparmor_parser -r Ahora debera poder leer, escribir y ejecutar archivos en el directorio compartido de forma normal, y el programa smbd tendr acceso slo a los archivos y directorios configurados. Asegrese de aadir entradas para cada directorio que configur para compartir con Samba. Adems, cualquier error se registrar en /var/log/syslog.