2009年11月28日

[debian-users:53387] Re: CUPSのDigest認証

武藤@Debianぷろじぇくとです。

At Sat, 28 Nov 2009 18:01:54 +0900,
canon wrote:
> > CUPS 1.3.8までのバグだったかと思います。
> > lpadminなどのlibcupsにリンクされたコマンドツールだと問題ないのですが、
> > Defaultのフォールバックの機構に問題があり、1.3.9で修正されていますね。
> > 1.3.8での回避方法としては「AuthType Defaultの代わりにAuthType Digestと

> > 明示的に設定する」です。
>
> 試しにすべての「AuthType」を「Default」から明示的に「AuthType Digest」としてみました。しかしやはりプリンタを認識しません。
> 「Authorized using Basic, expected Digest!」というエラーが数回発生してしまいます……。
>
> 不思議な事に「AuthType BasicDigest」または「DefaultAuth BasicDigest」かつ「AuthType Default」な時は認識します。

ふむ、では設定の問題か、バージョンの問題ですね。実機に入らないと検証するの
も難しそうです :)
いずれにしてもローカルホスト内の通信でDigestにする理由はあんまりない
と思います。怖ければcups-clientパッケージによるコマンドツールのほうを
使えば、ローカルでの通信についてはソケットファイル経由なのでだいぶ
安全です。

> あと確か「/usr/share/doc/libcups2/README.Debian.gz」を読む限り、DebianのCUPSって、デフォルトでSSLがサポートされていないんですよね。
> もしかしてGNUTLSもサポートされていないのですかね? となれば、CUPSで暗号化通信は「再コンパイル」しないとできないということになりますか? 
> 勘違いであればすいません。

はい、勘違いですね。GNUTLSのほうでサポートされています(libgnutls26)。

> そんでもって「https」でcupsのウェブインターフェイスに接続すると、iceweaselでは「sec_error_untrusted_issuer」エラーが゜発生。
> CUPSのログには「Unable to encrypt connection from localhost!」というログが残っていました。

デフォルトで作られる証明書はiceweaselブラウザに登録されている認証機関に
署名を受けたものではないので当然です。
警告が出ないようにしたいなら、/etc/cups/server.keyを作り直した上、要求書に
認証機関から有償で署名を受けた証明書を/etc/cups/server.crtで置く、という
手順になります。
ただここまでする場合にはGNUTLSに互換性があるとはいっても、金銭出費が絡んで
くるので、実績のあるOpenSSLのほうにリンクした形でCUPSをビルドし直すほうが
確実でしょう。ソースパッケージのrulesのフラグを1つ変えるだけで済んだはず。
--
武藤 健志@ kmuto @ kmuto.jp
Debian/JPプロジェクト (kmuto@xxxxx, kmuto@xxxxx)
株式会社トップスタジオ (kmuto@xxxxx)
URI: http://kmuto.jp/ (Debianな話題など)


投稿者 xml-rpc : 2009年11月28日 22:59
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/90970
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。