CUPS + smb tiskarna + krb5

Ing. Leoš Houser leos.houser na aacomputer.cz
Čtvrtek Leden 31 12:49:27 CET 2013 

Dobrý den.

Nemám po ruce instalaci Fedory 18, tak jen pár nápadů pro inspiraci:

Zkuste modul test odstranit a zase instalovat, ne reloadovat.
# semodule -r test
# semodule -i test.pp
V minulosti jsem zažíval při reloadech modulů podivné věci. Snad se i 
ujistěte, že se modul opravdu odstranil.

Mrkněte do manuálů sulogin_selinux, cupsd_selinux, a pokud má pam_rootok 
také selinuxový manuál, zkuste jej také pohledat. Na RH5 a RH6 není.

Podívejte se do konfiguráku aktuálně generovaného modulu.
# cat /var/log/audit/audit.log | audit2allow -m test > test.te
Pokud jsem pochopil váš velmi hutný popis problému správně, máte aktuálně 
problém v přechodem cupsu do bezpečnostní domény su_exec_t Tato konfigurace 
by potom měla obsahovat povolující tranzitivní pravidlo pro cups do domény 
su_exec_t. Zkuste jej doplnit pokud tam není a modul zkompilujte a zaveďte 
ručně.

Hodně štěstí. S pozdravem

--
Ing. Leoš Houser, jednatel
AA COMPUTER, s.r.o.
Konečná 917/25
360 05 Karlovy Vary
Tel: +420 353 566 539
Mob.: +420 737 107 202
E-mail: leos.houser na aacomputer.cz
WWW: http://www.aacomputer.cz






----- Původní zpráva ----- 
Od: "Luděk Finstrle" <luf na pzkagis.cz>
Komu: <linux na linux.cz>
Odesláno: 31. ledna 2013 10:05
Předmět: CUPS + smb tiskarna + krb5


Ahoj,

  na Fedore 18 resim tisk na tiskarnu ve win AD s auth kerberem. Nedostanu 
keytab pro svuj stroj, takze dle me pada varianta celeho CUPSu pres kerbera.

Takze jsem si klasicky udelal /usr/lib/cups/backend/smb:

#!/bin/sh

echo 'network smb "Unknown" "Windows Printer via SAMBA"'

/bin/su -p -c "KRB5CCNAME=\"DIR:\$(/bin/ls -td 
/run/user/\`/usr/bin/id -u\`/krb5cc_* | /usr/bin/head -n1)\" 
/usr/bin/smbspool $1 $2 \"$3\" $4 \"$5\"" $2

Potud dobry, ale mam problem, ze se selinuxem v rezimu enforcing mi to 
neprojde su pres pam_rootok a tudiz to nefunguje. Prochazel jsem pres tail 
/var/log/audit/audit.log | audit2allow -M test az jsem se dostal do stavu, 
kdy zadne alerty nejsou (i se semodule -BD), ale presto je rozdil Enforcing 
a Permissive rezim.
pam_rootok ma podporu selinuxu, ktera navic checkuje korektnost a ta pada, 
ale nevim co kde nastavit, abych cupsu (pod rootem) povolil su.

Se selinuxem jsem zacatecnik, takze verim, ze delam nejakou zacatecnickou 
chybu.

Predem diky za napady ci odkazy na spravnou dokumentaci/postup

Luf
_______________________________________________
Linux mailing list
Linux na linux.cz
http://www.linux.cz/mailman/listinfo/linux

Další informace o konferenci Linux