この章では、WAFS File Engine や、ブランチ オフィスで Edge FE として動作する Wide Area Application Engine(WAE) にプリント サービス サポート機能を設定する方法を説明します。 また、Windows ドメイン サーバを使用して、管理者とユーザからのプリント サービス要求を認証および許可するように Edge FE を設定する方法についても説明します。
- プリント サービスについて
- プリント サービスのログイン認証および許可について
- WAFS Manager GUI と WAFS CLI との相互動作
- プリント サービスを提供するための Edge FE の設定
- プリント サービスのコンフィギュレーション情報の表示
- 現在の管理認証および許可の設定の表示
- Windows ドメイン サーバ統計情報の表示
この章で取り上げる CLI コマンドの完全な構文と使用方法の詳細については、『Cisco WAFS 3.0 Command Reference』を参照してください。
プリント サービスについて
WAFS は、ブランチ オフィス ユーザにプリント サービスを提供するので、各ブランチ オフィスに個別のプリント サーバを配置する必要はありません。 WAFS プリント サービスは Windows クライアントに対応しており、任意のプリンタと連携して動作します(RAW モードを使用した場合、データのレンダリングはクライアントが対応)。 プリント ドライバは、ユーザの必要に応じて、サーバ ライブラリから自動的にダウンロードされます。 ジョブ ステータスのモニタリングを含め、完全なプリント キューの管理機能も装備されています。
ブランチ オフィスの印刷トポロジ
図8-1 は、ブランチ オフィスの典型的なプリント サーバ トポロジーを示しています。多数のクライアント デスクトップが、複数のプリンタの代わりに 1 台のプリント サーバを使用しています。
図8-1 典型的なブランチ オフィスの LAN プリンタ トポロジ
WAFS ソフトウェアを使用してプリント サービスを提供する場合は、1 台以上の WAFS File Engine または WAE を含むようにトポロジーが変更されるだけです。 ファイル サーバは、データ センタに移動するか、別の目的のために使用します。 図8-2 を参照してください。
図8-2 ブランチ オフィスの WAFS プリント サービス トポロジー
|
WAFS Central Manager を稼働する、Core File Engine として動作する 1 台の WAE またはコア クラスタ内の複数の WAE |
|||
|
WAFS FE Manager を稼働する、Edge File Engine として動作する 1 台の WAE またはサービス グループ内の複数の WAE |
|||
この構成では、WAE はプリント サービスが設定された Edge FE として動作します。 LAN 上のユーザがプリント サービスへの要求を作成し、WAE がその要求を処理し、Windows ドメイン コントローラを使用してクライアントを認証し、その後、要求されたファイルを出力します。
WAFS プリント サービス ソリューション
WAFS 3.0 プリント サービス ソリューションでは、Samba、Common UNIX Printing system (CUPS)、および Winbind プロセスを組み合わせて、WAFS プラットフォームから直接プリント サービスを提供します。 WAFS は、Samba を使用して、Microsoft または IBM 型デスクトップ マシンと Linux ベースのマシンとの間でプリンタを共有します。 CUPS は、バックエンド プリント キューイングやプリンタ制御を含む、プリント サービスに必要なサポート機能を提供します。 さらに、Winbind は、Windows ドメイン コントローラに対して、基本的な認証と NT LAN Manager (NTLM)チャレンジ/レスポンス認証を実行する手段を提供します。
WAFS では、IP ベースのネットワーク プリンタのみをサポートします。 Edge FE に直接接続されたプリンタでは、パラレル、シリアル、または USB IP アダプタを使用することをお勧めします。
WAFS は、raw キューイングをサポートしています。したがって、ファイルのレンダリングはすべて、ベンダー提供のプリンタ ドライバを使用してクライアント マシン上で実行され、プリント サーバは Win2003 型のプリント キュー管理を実行できます。
プリンタ クラスタ処理
本来、CUPS では クラス と呼ばれているプリンタ クラスタ処理を使用することで、管理者は、複数のプリンタを 1 つのクラスタにグループ化することができます。 プリンタ クラスタ処理は、プリンタ グループ内でのフェールオーバーとロード バランシング機能を提供します。 1 つのプリンタ クラスタにグループ化できるのは、同じモデルで同じ機能を備えたプリンタだけです。 グループ化されたプリンタは、互いに地理的に近接しているものと見なされます。 1 つのプリンタ クラスタには、最大 12 台のプリンタを含めることができます。 すべてのプリンタ(プリンタ クラスタを含む)において、デフォルトのスプール スペースは 1 GB です。
CUPS は、クラスタごとのデフォルト プリンタの選択はサポートしていません。
プリンタ クラスタは、エンドユーザには、単一のプリンタとして認識されます。 エンドユーザが、プリンタ クラスタを表すプリンタにプリント ジョブを送信すると、プリント ジョブは CUPS によって、プリンタ クラスタ内の最初に使用可能なプリンタへ自動的に転送されます。
プリント サービスのユーザ
WAFS 環境におけるプリント サービスのユーザには 2 つのタイプがあります。 それらは、次のとおりです。
- 管理ユーザ―プリンタ情報とプリンタ クラスタ内メンバーシップの追加と変更、プリント ジョブの削除、再始動、一時停止、再開を実行できるユーザ。
- プリント ユーザ―プリンタからジョブを印刷できるが、プリンタ設定の追加や変更は実行できないユーザ。
管理ユーザのグループには、複数の管理ユーザを含めることができます。
機能のサポート
さまざまなプリント サービス機能が、WAFS ソリューションの各種ソフトウェア コンポーネントである Samba、CUPS、Winbind、および WAFS ソフトウェア自身によって処理されます。 表8-1 は、どのツールが特定のプリント サービス機能を実行するための能力を提供しているかを示しています。
プリント サービスのログイン認証および許可について
管理ユーザとプリント ユーザはどちらも、プリント サービスを利用するために WAFS Edge FE にアクセスします。 これらのユーザは、Edge FE へのログイン時に、認証されアクセス権が許可されます。 WAFS では、管理ユーザは Windows ドメイン コントローラによって認証および許可されます(管理グループ内のエントリに一致する場合)。 管理ユーザに対しては、アカウンティングが実行されることもあります。 プリント ユーザは、プリント サービスの要求を受信した時点で、Windows ドメイン コントローラ/Active Directory によって認証および許可されます。
認証方式の選択
- NT LAN Manager (NTLM)バージョン 1―Active Directory を使用する Windows 98、Windows NT などのレガシー システム、および Windows 2000、Windows XP、Windows 2003 などの最近の Windows システムを含む、すべての Windows システムで使用されます。
WAFS プリント サービスに対応した Edge FE にアクセスする各種クライアントとの互換性を最大限引き出すために、NTLM バージョン 1 を使用することをお勧めします。 それが使用できないか、許されない(バージョン 1 は安全性が低いため)場合は、NTLM バージョン 2 を使用してください。
- NTLM バージョン 2―Active Directory を使用する Windows 98、Windows NT 4.0 (サービス パック 4 以上)、Windows XP、Windows 2000、Windows 2003 といった Windows システムで使用されます。
Windows ドメイン コントローラを選択している場合は、物理的にクライアントにもっとも近い、ネットワーク上のドメイン コントローラを使用し、可能なかぎり遅延を最短に抑えます。
プリンタ管理グループのメンバーになるために、特定の特権や特別な権限は必要ありません。 プリンタ管理グループにその他の管理グループを含め、ネストされたプリンタ管理グループを作成できます。 プリンタ管理グループは、Active Directory または Windows ドメイン内で定義されます。
WAFS Manager GUI と WAFS CLI との相互動作
WAFS プリント サービス機能は、WAFS Manager GUI または CLI を使用して設定できます。そのため、これらのツール間での次のやり取りを理解しておく必要があります。
- 管理ユーザが WAE にプリント サービスを設定しようとするたびに、システムは Windows 認証がイネーブルかどうかをチェックします。 Windows 認証がイネーブルの場合、ユーザは通常の操作を実行し、プリント サービスをイネーブルにすることができます。 Windows 認証がイネーブルでない場合、ユーザは警告メッセージを受信し、 Print services enabled チェックボックスはオフで選択できない状態のままとなります。 イネーブルだった Windows 認証をディセーブルにした場合は、プリント サービスは停止します。
- WAFS Manager GUI から Print Admin Group の設定値を変更すると、CUPS が再起動するため、変更内容を有効にすることができます。 CLI から変更した場合は、管理者が手動で CUPS を再起動する必要があります。 WAFS Manager GUI は、変更内容を更新します。
-
CUPS が稼働していない場合、CUPS 管理用のオープン リンクは WAFS Manager GUI 内でディセーブルになっています。 WAFS Manager GUI ページをロードした後、CLI で
no print-services enable
グローバル コンフィギュレーション コマンドを使用して、プリント サービスを停止した場合、ユーザは、プリント サービスへのアクセスを試みると、標準エラー メッセージ
The page cannot be displayed を受信します。 - WAFS Manager GUI または CLI から設定を変更した場合は、Samba および CUPS ソフトウェアを再起動する必要があります。再起動時には、プリント サービスのアベイラビリティと動作が一時的に中断されます。 設定に変更を加える前に、ユーザによる確認が必要です。
プリント サービスを提供するための Edge FE の設定
WAFS Manager GUI を使用して、プリント サービス機能の大半を WAE に設定できます。 また、CLI を使用して、Windows 認証を設定し、サービスの使用を許可するユーザを指定できます。
その他のすべてのプリント サービス設定作業については、Cisco WAFS 3.0 User Guide を参照してください。
Windows 認証の設定
Windows ドメイン認証を設定するには、Windows ドメイン コントローラに関する Windows ドメイン認証の一連の設定値を設定する必要があります。 これらの設定値は、WAFS Manager GUI または WAFS CLI を使用して設定できます。
Edge FE 上で Windows ドメイン サーバを設定する手順は、次のとおりです。
windows-domain wins-server { hostname | ipaddress }
ネットワーク上に WINS サーバがある場合は、ここでそのサーバの IP アドレスを使用します。 マルチサブネット化されたネットワークがある場合は、ここで WINS サーバの IP アドレスを使用します。 WINS サーバを使用すると、クロスサブネットのブラウズが適切に動作するように保証されます。 次の例では、2 台の WINS サーバが定義されています。
WAE(config)# windows-domain wins-server 192.168.200.1 192.168.2.61
ステップ 2 windows-domain password-server グローバル コンフィギュレーション コマンドを入力して、ログイン時にユーザを確認するために使用するパスワード サーバを指定します。
windows-domain password-server { hostname | ipaddress }
WAE(config)# windows-domain password-server 192.168.201.0
ステップ 3 windows-domain netbios-name グローバル コンフィギュレーション コマンドを使用して、Samba サーバを認識するための NetBIOS 名(最大 15 文字)を指定します。
windows-domain netbios-name netbios-name
デフォルトでは、 netbios-name は空のストリングです。 これは、Edge FE がプリント サービスに対する自身のアベイラビリティを通知するときに提供される名前でもあります。 次に例を示します。
WAE(config)# windows-domain netbios-name MYWAE
ステップ 4 windows-domain workgroup グローバル コンフィギュレーション コマンドを使用して、Windows ドメイン サーバが所属するネットワーク ワークグループを指定します。
windows-domain workgroup workgroup-name
workgroup-name のデフォルト値は、空のストリングです。 次の例では、ワークグループ名を MYGROUP として指定しています。
WAE(config)# windows-domain workgroup MYGROUP
ステップ 5 サーバが適切に設定されれば、 authentication グローバル コンフィギュレーション コマンドを使用して、プリント サービスに対する管理ログイン認証を Edge FE に設定できます。
authentication { configuration { local | radius | tacacs } enable [ primary | secondary | tertiary ] | fail-over server-unreachable | login { local | radius | tacacs | windows-domain } enable [ primary | secondary | tertiary ] | print-services windows-domain enable }
WAE(config)# authentication print-services windows-domain enable
次の例では、WAFS プリント サービス用の Windows ドメイン サーバが設定されています。 サーバは IP アドレス 192.168.50.1 で、 cisco ドメイン(ワークグループ)に属しています。 また、Windows XP オペレーティング システムを稼働しており、NetBIOS 名 MYFE で識別されます。 さらに、パスワード サーバが指定され、認証が設定されています。
WAE(config)# windows-domain wins-server 192.168.50.1
WAE(config)# windows-domain netbios-name MYFE
WAE(config)# windows-domain workgroup cisco
WAE(config)# windows-domain password-server 192.168.10.10
WAE(config)# authentication print-services windows-domain enable
プリント サービスの許可の設定
プリント サービスの設定とプリント ジョブの制御を実行できる一連の管理ユーザを許可するには、Windows ドメイン内にプリント サービス管理グループを作成します。 管理グループ内のユーザしか、プリンタの追加や設定が実行される CUPS GUI またはプリンタ Windows コンソールにアクセスできないため、管理グループが作成されていない場合は、これらの作業を実行できません。 プリント サービス管理グループを作成するには、 print-services admin-group グローバル コンフィギュレーション コマンドを使用します。
print-services admin-group admingroup-name
admingroup-name は、最大 127 文字長です。デフォルト値は、グループが指定されていないことを示す Null です。 次の例では、 WAFS_Printer_Admins という名前のプリント サービス管理グループを作成しています。
WAE(config)# print-services admin-group WAFS_Printer_Admins
Failed to configure print-services admin group. と Failed to revert back the print-services admin group changes. です。
プリンタ管理グループをクリアするには、このコマンドの no 形式を使用します。
プリント サービスの開始と停止
Windows 認証を設定し、プリンタ管理グループを指定すれば、 print-services enable グローバル コンフィギュレーション コマンドを使用してプリント サービスを開始できます。
WAE(config)# print-services enable
プリント サービスを停止するには、このコマンドの no 形式を使用します。
WAE(config)# no print-services enable
別の方法として、 authentication print-services グローバル コンフィギュレーション コマンドの no 形式を使用して、プリント サービスを停止することもできます。
WAE(config)# no authentication print-services windows-domain enable
クラスタ内の最後のプリンタを削除すると、警告を表示することなく、クラスタ全体が削除されます。
プリント サービスのコンフィギュレーション情報の表示
show print-services および show running-config EXEC コマンドを使用して、いつでも設定を確認できます。
管理グループ別または稼働しているプロセス(Samba または CUPS)別にプリント サービスのコンフィギュレーション情報を表示するには、 show print-services コマンドを使用します。
admin-group Display print services administrator group information
process Display print services information
管理グループ別にプリント サービスのコンフィギュレーション情報を表示するには、次のコマンドを入力します。
WAE# show print-services admin-group
Administrator Group for print-services is : cupsAdmin
管理グループが設定されていない場合は、出力は次のようになります。
WAE# show print-services admin-group
There is no configured administrator group for print-services.
プリント サービス プロセス別にプリント サービスのコンフィギュレーション情報を表示するには、次のコマンドを入力します。
WAE# show print-services process
-------------- Print Server Status ---------------
-------------------------------------------------------------------
Service pid machine Connected at
-------------------------------------------------------
-------------- Print Spooler Status ---------------
system default destination: printer1
device for printer1: http://hostname:631/ipp/
device for printer2: http://hostname:631/ipp/port1
device for printer3: lpd://hostname/queue
printer3 not accepting requests
Samba (smbd)および CUPS (cupsd)プロセスが稼働していない場合、出力は次のようになります。
管理グループ別とプロセス別のプリント サービス コンフィギュレーション情報を同時に表示するには、 show running-config コマンドを使用します。
この例は、プリント サービスがイネーブルで、プリント サービス管理グループが定義されている場合の出力の一部を示しています。
print-services admin-group cupsAdmin
smb-conf section &dlq;global&drq; name &dlq;printer admin&drq; value &dlq;@cupsAdmin&drq;
smb-conf section "print$" name "write list" value "@cupsAdmin"
smb-conf section "print$" name "force user" value "root"
smb-conf section "print$" name "force group" value "root"
現在の管理認証および許可の設定の表示
WAE 上の現在の管理ログイン認証および許可(認証設定)を表示するには、 show authentication user および show authentication print-services EXEC コマンドを使用します。
次の出力例では、WAE のログイン認証および許可を実行するためにローカル認証方式が設定され、プリント サービス ログイン認証を実行するために Windows ドメイン方式が設定されています。
Login Authentication: Console/Telnet/Ftp/SSH Session
----------------------------- ------------------------------
Windows domain enabled (primary)
Configuration Authentication: Console/Telnet/Ftp/SSH Session
----------------------------- ------------------------------
WAE# show authentication print-services
Windows domain server authenticates the Print Services
プリント サービスの設定認証は、このコマンド出力には表示されない点に注意してください。 プリント サービスの許可設定を表示するには、 show print-services admin-group EXEC コマンドを使用します。
WAE# show print-services admin-group
Administrator Group for print-services is : jrdoe rksmith bob35
この WAE のプリント サービスに対して許可(管理者グループ)が設定されていない場合は、代わりに、メッセージ There is no configured administrator group for print-services が表示されます。
Windows ドメイン サーバ統計情報の表示
Windows ドメイン サーバに対して作成された、認証アクセス、許可、およびアカウンティングの要求数を表示するには、 show statistics windows-domain EXEC コマンドを使用します。
次の例は、この WAE 上で 3 つの認証アクセス要求が作成され、3 つすべてが拒否されたことを示しています。
WAE# show statistics windows-domain
-----------------------------------------------
Number of access deny responses: 3
Number of access allow responses: 0
Number of authorization requests: 0
Number of authorization failure responses: 0
Number of authorization success responses: 0
Number of accounting requests: 0
Number of accounting failure responses: 0
