プリンタの利用に制約を与える

FreeBSD ハンドブック : プリンタの利用 : プリンタ設定上級編 : プリンタの利用に制約を与える
Previous: リモートプリンタからの出力
Next: プリンタの利用に対する課金

7.6.4. プリンタの利用に制約を与える

本節では, プリンタの利用に制約を与えるための情報を記しています. LPD システムでは, プリンタ (ローカル, リモートのいずれに接続されていても) にアクセスできる人を制限する機能, 複数部のコピーの印字の可否を制御する機能, ジョブのサイズの最大値やプリンタキューに入るジョブの最大個数を制御する機能を提供しています.

7.6.4.1. 複数部のコピーの印字を制限する

LPD システムではユーザが複数部のコピーの印字を簡単におこなう機能を提供しています. ユーザが, (例えば) lpr -#5 コマンドを使ってジョブを印字すると, ジョブのそれぞれのファイルのコピーを5部得ることができます. これがよい機能であると思うかどうかは人それぞれでしょう.

複数部のコピーの印字によってプリンタが必要以上に消耗してしまうと感じるならば, /etc/printcap ファイルに sc 項目を加えてください. これにより, lpr の -# オプションの使用が禁止されます. このオプションが指定されているにも関らず, -# オプションを使うと, 次のようなメッセージが表示され, このオプションの利用できない旨を伝えます.


lpr: multiple copies are not allowed

リモートホストからプリンタをアクセスできる設定にしている場合 (この設定については, 「リモートホストに接続されたプリンタ」をご覧ください), そのリモートホストの /etc/printcap にも同じように sc 項目を追加する必要があることに注意してください. そうしないと, ユーザは別なホストから複数部のコピーの印字することができてしまいます.

例を使って説明しましょう. 次に示す /etc/printcap ファイルは, ホスト rose のものです. プリンタ rattan は極めて頑丈なので, 複数部のコピーの印字は許可されています. しかし, レーザプリンタの bamboo はもう少しデリケートで, このプリンタから複数部のコピーを印字することを sc 項目を追加することで禁止しています.

#
#  /etc/printcap for host rose - restrict multiple copies on bamboo
#
rattan|line|diablo|lp|Diablo 630 Line Printer:\
	:sh:sd=/var/spool/lpd/rattan:\
	:lp=/dev/lpt0:\
	:if=/usr/local/libexec/if-simple:

bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
	:sh:sd=/var/spool/lpd/bamboo:sc:\
	:lp=/dev/ttyd5:fs#0x82000e1:xs#0x820:rw:\
	:if=/usr/local/libexec/psif:\
	:df=/usr/local/libexec/psdf:

さらに, orchid の /etc/printcap にも sc 項目を追加する必要があります (orchid でこの編集をおこなっているときに, ついでに, プリンタ teak でも複数部のコピーの印字を禁止することにしましょう).

#
#  /etc/printcap for host orchid - no multiple copies for local
#  printer teak or remote printer bamboo

teak|hp|laserjet|Hewlett Packard LaserJet 3Si:\
	:lp=/dev/lpt0:sd=/var/spool/lpd/teak:mx#0:sc:\
	:if=/usr/local/libexec/ifhp:\
	:vf=/usr/local/libexec/vfhp:\
	:of=/usr/local/libexec/ofhp:

rattan|line|diablo|lp|Diablo 630 Line Printer:\
	:lp=:rm=rose:rp=rattan:sd=/var/spool/lpd/rattan:

bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
	:lp=:rm=rose:rp=bamboo:sd=/var/spool/lpd/bamboo:sc:

sc 項目を指定することにより, lpr -# の使用を防ぐことができます. しかし, この状態では lpr を複数回起動したり, 1回のジョブで次のように同じファイルを複数個指定することを防ぐまでには至っていません.


lpr forsale.sign forsale.sign forsale.sign forsale.sign forsale.sign

このような悪用を防ぐ方法は (その指示を無視することも含めて) たくさんあります. 各自で調べてみてください.

7.6.4.2. プリンタを使用できる人を限定する

それぞれのプリンタを使用できる人を限定するには, UNIX のグループ権限のメカニズムを利用し, さらに, /etc/printcap で rg 項目を指定することでおこないます. あるプリンタにアクセスさせてもよいと思うユーザすべてをUNIXのあるグループに入れてください. そして, そのグループ名を rg で指定します.

このとき, そのグループに含まれないユーザ (root も含む) が rg の指定がされたプリンタを使用すると, 次のようなメッセージが表示され, プリンタの使用はできません.


lpr: Not a member of the restricted group

sc (suppress multiple copies : 複数部のコピーの印字を禁止する) を指定するときと同様に, rg が指定されたプリンタがリモートホストからもアクセスでき (この設定については, 「リモートホストに接続されたプリンタ」をご覧ください), かつ, そのホストでもプリンタを使用できる人を限定するのが妥当であると思う場合は, そのホストの /etc/printcap にも rg 指定をおこなう必要があります.

例えば, プリンタ rattan は誰でも利用できるが, bamboo はグループ artists に属している人のみが利用できるようにしてみましょう. 以下に, もうお馴染みとなったホスト rose の /etc/printcap を示します.

#
#  /etc/printcap for host rose - restricted group for bamboo
#
rattan|line|diablo|lp|Diablo 630 Line Printer:\
	:sh:sd=/var/spool/lpd/rattan:\
	:lp=/dev/lpt0:\
	:if=/usr/local/libexec/if-simple:

bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
	:sh:sd=/var/spool/lpd/bamboo:sc:rg=artists:\
	:lp=/dev/ttyd5:fs#0x82000e1:xs#0x820:rw:\
	:if=/usr/local/libexec/psif:\
	:df=/usr/local/libexec/psdf:

これ以外の /etc/printcap ファイル (ホスト orchidのもの) はそのままにしておくことにします. もちろん, orchid のユーザは全員 bamboo を利用することができます. これは, orchid には特定のユーザのみにしかアクセスさせておらず, そのユーザにはプリンタを利用させたいと思っているからなのかもしれませんし, そうでないかもしれません.

注意: 1台のプリンタを複数グループのユーザに利用させることはできません.

7.6.4.3. 入力可能なジョブのサイズを制限する

たくさんのユーザからプリンタが利用される場合には, 多分, ユーザが印字要求を出すことができるファイルのサイズに上限値を置く必要が生じるでしょう. 結局のところ, スプーリングディレクトリが置かれているファイルシステムの空き容量がその上限値になる訳ですが, あるユーザがこれを独占的に使用すること避けるために, 他ユーザからのジョブ用の空き容量を確保する必要もあります.

LPD では, mx 項目を指定することにより, ジョブ中の個々のファイルのサイズの上限値を制限する機能を提供しています. 指定されるファイルサイズの単位は BUFSIZ ブロックで, 1 BUFSIZ ブロックは 1024バイトを表わします. この mx 項目の値として0が指定されると, ファイルサイズの制限はなくなります. この制限はジョブ中の各 ファイルに対して適用されるものであり, ジョブ全体のサイズを制限するものではないことに注意してください.

ところで, プリンタに設定された上限値を超えるファイルサイズのファイルが入力された場合でも, LPD はこれを拒否しません. その代わりに, このファイルは, その先頭から上限値のファイルサイズまでしかキューに入れられません. そして, その部分までが印字され, 残りの部分は捨てられます. これが正しい動作といえるのかどうかは議論の余地があるところです.

それでは, 設定例に登場しているプリンタ rattan と bamboo の印字可能なファイルサイズに制限を加えてみましょう. artists グループの人達が作る PostScript ファイルのサイズは巨大になる傾向があるので, 上限値を5Mバイトとします. それから, プレインテキスト用のラインプリンタは無制限とします.

#
#  /etc/printcap for host rose
#

#
#  No limit on job size:
#
rattan|line|diablo|lp|Diablo 630 Line Printer:\
	:sh:sd=/var/spool/lpd/rattan:\
	:lp=/dev/lpt0:\
	:if=/usr/local/libexec/if-simple:

#
#  Limit of five megabytes:
#
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
	:sh:sd=/var/spool/lpd/bamboo:sc:rg=artists:mx#5000:\
	:lp=/dev/ttyd5:fs#0x82000e1:xs#0x820:rw:\
	:if=/usr/local/libexec/psif:\
	:df=/usr/local/libexec/psdf:

この場合もそうですが, この制限はローカル (ホスト rose) のユーザのみに適用されます. リモートホストからプリンタを利用できるように設定している場合は, そのリモートホストのユーザはこの制限を受けません. これらのユーザにも制限を加える場合は, リモートホストの /etc/printcap の mx を指定する必要があります. リモートホストから印字するための詳しい情報については, 「リモートホストに接続されたプリンタ」を参照してください.

リモートホストに接続されたプリンタへのジョブのサイズを制限する特別な方法は他にもあります. これについては, 「リモートホストからのプリンタの利用を制限する」を参照してください.

7.6.4.4. リモートホストからのプリンタの利用を制限する

LPD スプーリングシステムでは, リモートホストから要求されたジョブの印字を制限するための方法がいくつか提供されています.

ホストの制限

ローカルの LPD が印字要求を受け付けるリモートホストは, ファイル /etc/hosts.equiv と /etc/hosts.lpd によって制御することができます. LPD では, あるホストから印字の要求がきたとき, このホストの名前がこれら2つのファイルのどちらかに含まれているかどうかを調べます. これが含まれていない場合は, LPD はこの要求を拒否します.

これらのファイルの形式は単純です. 各行にホストの名前を 1つずつ書いていきます. ファイル /etc/hosts.equiv の方は ruserok(3) プロトコルでも利用され, rsh や rcp といったプログラムの動作に影響するので注意が必要です. /etc/hosts.equiv の記述は慎重におこないましょう.

例として, 以下にホスト rose の /etc/hosts.lpd を示します.

orchid
violet
madrigal.fishbaum.de

この例では, rose はホスト orchid, violet, そして madrigal.fishbaum.de からの要求を受け付けることになります. その他のホストが rose の LPD にアクセスしようとしても, LPD はこれを拒否します (訳注:拒否されるのは, そのホストが /etc/hosts.equiv にも含まれていない場合です).

サイズの制限

スプーリングディレクトリがあるファイルシステムに残しておく必要がある空き容量の大きさを制御することができます. ローカルプリンタ用のスプーリングディレクトリに minfree という名前のファイルを作成します. そして, そのファイルの中にリモートホストからのジョブの要求を受け付けるために必要な空き容量のディスクブロックサイズ (1 ディスクブロック=512バイト) を記します.

これで, リモートホストのユーザにファイルシステムを満杯にされないことが保証されます. この機能を使うと, ローカルホストのユーザに対してある種の優先権を与えることもできます. ローカルホストのユーザは, minfree ファイルで指定された値よりもディスクの空き容量が下回った後でもずっと, ジョブをキューに入れることができるのです.

例えば, プリンタ bamboo 用の minfree を作ってみましょう. このプリンタのスプーリングディレクトリを調べるために, /etc/printcap を調べてみましょう. 以下に, bamboo のエントリ部分を示します.


bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
	:sh:sd=/var/spool/lpd/bamboo:sc:rg=artists:mx#5000:\
	:lp=/dev/ttyd5:fs#0x82000e1:xs#0x820:rw:mx#5000:\
	:if=/usr/local/libexec/psif:\
	:df=/usr/local/libexec/psdf:

スプーリングディレクトリは sd で指定されます. LPD がリモートホストからのジョブを受け付けるために必要なファイルシステムの空き容量を3Mバイト (=6144ディスクブロック) にすることにしましょう.


echo 6144 > /var/spool/lpd/bamboo/minfree

利用ユーザの制限

/etc/printcap の rs 項目を指定することで, ローカルプリンタを利用できるリモートホストのユーザを制限することができます. ローカルホストに接続されたプリンタ用のエントリに rs 項目が指定されている場合, LPD は印字を要求したユーザのアカウントと同じログイン名がローカルホストに登録されている/em/場合に限り/, そのジョブが受け付けられます. そうでないユーザからのジョブは LPD は拒否します.

この機能は, (例えば) 複数の部署がネットワークを共有しており, この内のあるユーザが部署の境界を越えて活動している場合には特に有用です. そのようなユーザに対して, システムのアカウントを与えるだけで, これらのユーザは自分が所属する部署のシステムからそのシステムに接続されているプリンタを使用することができます. これらのユーザにはむしろ, プリンタの使用だけを認め, その他のコンピュータ資源を利用させたくないときは, それらのユーザにはホームディレクトリを与えず, ログインシェルはシェルとしては何の役にも立たない /usr/bin/false などを指定して, これらのユーザのアカウントはプリンタ用の「形式的な」ものとします.