Benutzeranmeldung

Drucken mit dem Internet Printing Protocol

Praxis & Tipps | Praxis

Seite 3: Benutzeranmeldung

Der Webserver kann kontrollieren, welche Besucher auf die Druckerfreigaben und die Weboberfläche zugreifen dürfen. Relevant ist dafür einerseits die im IIS gewählte Authentifizierungsmethode, mit der die Anwender ihre Anmeldedaten übermitteln, und zum anderen die für das Druckerobjekt gültigen Zugriffsrechte.

Die Authentifizierungsmethode stellt man in der Computerverwaltung des Servers ein. Im Zweig "Dienste und Anwendungen" finden Sie die IIS-Administration unter "Internet Informationsdienste". Die Authentifizierungsmethode für die Weboberfläche und alle freigegebenen Drucker legen Sie in den Eigenschaften des Ordners "Printers" der Standard-Website fest. Auf der Seite "Verzeichnissicherheit" klicken Sie dazu unter "Steuerung des anonymen Zugriffs und der Authentifizierung" auf den Knopf "Bearbeiten".

Der IIS unterstützt mehrere Methoden der Authentifizierung, von denen wir nur die drei wichtigsten vorstellen: Beim "Anonymen Zugriff" fordert der IIS vom Client keine Anmeldedaten und greift mit den Rechten des Benutzers IUSR_computername auf die Drucker zu. Wenn die Berechtigungen in den Eigenschaften des Druckerobjekts so eingestellt sind, dass "jeder" den Drucker verwenden darf, gilt das mit dieser Einstellung für alle, die den Server über Port 80 erreichen. Der anonyme Zugriff ist für lokale Netzwerke praktisch, in denen man den Nutzerkreis nicht einschränken möchte.

Bei der "Standardauthentifizierung" fordert der Webserver vom Client eine Benutzerkennung und ein Passwort an. Mit dieser Methode können sich auch andere Betriebssysteme gegenüber dem Windows-Server ausweisen, denn sie gehört bereits zum Standardrepertoire von HTTP 1.0. Allerdings gehen dabei sowohl die Druckdaten als auch Benutzername und Passwort unverschlüsselt als BASE64-String über die Leitung.

Per Standardauthentifizierung können sich auch Linux und Mac OS beim IIS ausweisen. Dabei ist es empfehlenswert, die Verbindung mit SSL zu sichern, sonst gehen Passwörter und Druckdaten unverschlüsselt über die Leitung.

Um die Verbindung mit SSL abzusichern, muss man im IIS ein Serverzertifikat installieren. Für den Einsatz in kleineren Netzen reicht ein einfaches, selbst signiertes Zertifikat aus. Ein solches lässt sich mit Microsofts Werkzeug SelfSSL leicht erstellen, das im Resource Kit für den IIS 6.0 enthalten ist. SelfSSL haben wir im Artikel Speicher im WWW beschrieben. Im einfachsten Fall genügt der Befehl selfssl /V:1825 auf der Kommandozeile: Nach einer Sicherheitsabfrage importiert SelfSSL dabei das neue Zertifikat automatisch in den IIS. Beim Zugriff auf die Weboberfläche per https:// warnt der Browser dann, das selbst erstellte Zertifikat sei möglicherweise unsicher. Diese Warnung kann man ignorieren. Wenn man sich vergewissert hat, dass es sich beim Gegenüber tatsächlich um den eigenen IIS handelt, importiert man das Zertifikat am besten dauerhaft in den eigenen Webbrowser.

Soll der Zugriff auf alle IPP-Drucker ausschließlich über SSL stattfinden, müssen Sie diese Option in den Eigenschaften des Ordners "Printers" in der IIS-Managementkonsole vorgeben. Unter "Verzeichnissicherheit/Sichere Kommunikation/Bearbeiten …" aktivieren Sie dazu den Schalter "Sicheren Kanal verlangen (SSL)".

In einer reinen Windows-Umgebung bietet die "Integrierte Windows-Authentifizierung" einen guten Kompromiss zwischen Komfort und Sicherheit. Wenn Client und Server Zugriff auf ein Active Directory haben oder Mitglieder derselben Domäne sind, authentifizieren sich die Windows-Systeme ohne Zutun des Anwenders via Kerberos oder NTLM. Steht kein zentraler Windows-Server bereit, fragt der Client den Anwender nach den Login-Daten. Die NTLM-Methode funktioniert allerdings nicht ohne weiteres über Proxies hinweg.

Wenn der IIS fertig konfiguriert ist, erscheinen im Webbrowser beim Aufruf der URL http://<i>SERVER</i>/printers alle auf dem Server freigegebenen Drucker. Nach einem Klick auf einen Druckernamen kann man seine Aufträge löschen, den Drucker anhalten, ihn wieder starten oder seine Eckdaten einsehen. Wer die Seite mit dem Internet Explorer besucht, hat auch die Option, sich mit dem Drucker zu verbinden und ihn damit im lokalen System als Netzwerkdrucker zu installieren.

Anzeige
Anzeige