Eric Lehmann [17.07.2013 19:34]:
Hi
Wozu benötigst du nochmal IPP ?
Ich benötige https, aber das ist lt. Doku nur ein Alias für ipp. Das benötige ich, weil der Remote CUPS, der in einer anderen Firma steht, nichts anderes akzeptiert. Gruß Werner P.S.: Fragen, die ich auf der Mailingliste stelle, sollten auch dort weiter behandelt werden, nicht per PM ;-) -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hi Werner, Am Donnerstag, 18. Juli 2013 09:31:38 schrieb Werner Flamme:
Eric Lehmann [17.07.2013 19:34]:
Wozu benötigst du nochmal IPP ?
Ich benötige https, aber das ist lt. Doku nur ein Alias für ipp. Das benötige ich, weil der Remote CUPS, der in einer anderen Firma steht, nichts anderes akzeptiert.
nur mal so ins Blaue hinein ... könnte es möglicherweise so sein das Dein CUPS in der anderen NDL generell nur Druckaufträge per IPP aus dem Netz der (dort) lokalen Netzwerkumgebung akzeptiert? Es ist ein Unterschied ob der Druckauftrag per SMB (für den CUPS) quasi vom lokalen Server kommt oder per IPP direkt an den CUPS übers Netz mit einer völlig anderen Source IP, die CUPS Config ist an der Stelle sehr fein granular einstellbar. Gruss Falk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Falk Sauer [22.07.2013 08:30]:
Hi Werner,
Am Donnerstag, 18. Juli 2013 09:31:38 schrieb Werner Flamme:
Eric Lehmann [17.07.2013 19:34]:
Wozu benötigst du nochmal IPP ?
Ich benötige https, aber das ist lt. Doku nur ein Alias für ipp. Das benötige ich, weil der Remote CUPS, der in einer anderen Firma steht, nichts anderes akzeptiert.
nur mal so ins Blaue hinein ... könnte es möglicherweise so sein das Dein CUPS in der anderen NDL generell nur Druckaufträge per IPP aus dem Netz der (dort) lokalen Netzwerkumgebung akzeptiert? Es ist ein Unterschied ob der Druckauftrag per SMB (für den CUPS) quasi vom lokalen Server kommt oder per IPP direkt an den CUPS übers Netz mit einer völlig anderen Source IP, die CUPS Config ist an der Stelle sehr fein granular einstellbar.
Hallo Falk, der remote CUPS (keine andere Niederlassung, sondern ganz andere Firma - ein IT-Dienstleister) nimmt Aufträge per https entgegen. Auf dessen Konfiguration habe ich gar keinen Einfluss. Da der Dienstleister eine Authentifizierung via Username/Passwort verlangt, würde mich interessieren, wie ich das meinem CUPS (der die Daten lokal von einem SAP-System erhält) beibringen kann. Alternativ versuche ich, dem Dienstleister den Unsinn auszureden - wer unsere IP fälschen kann, hat andere Möglichkeiten, in das Netz des Dienstleisters einzudringen. Und bevor der den Druckauftrag auf die Druckmaschine loslässt, ist ohnehin eine Freigabe via Mail erforderlich... Gruß Werner -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hi Werner, Am Montag, 22. Juli 2013 10:04:28 schrieb Werner Flamme:
Hallo Falk,
der remote CUPS (keine andere Niederlassung, sondern ganz andere Firma - ein IT-Dienstleister) nimmt Aufträge per https entgegen. Auf dessen Konfiguration habe ich gar keinen Einfluss.
Da der Dienstleister eine Authentifizierung via Username/Passwort verlangt, würde mich interessieren, wie ich das meinem CUPS (der die Daten lokal von einem SAP-System erhält) beibringen kann.
da würde ich mich jetzt mal dem Jörg anschließen und anfangen das Ganze systematisch zu debuggen, per Browser und notfalls mit zwischengeschaltetem Netzwerkmonitor. Habt Ihr sowas wie eine NGN Firewall oder der Dienstleister? Das wäre auch noch ein heisser Kandidat. Und ja es ist evtl. noch interessant ob es über IPv4 oder v6 geht, der Browser zum Testen müsste möglichst von der gleichen Maschine kommen und das gleiche IP Protokoll nutzen wie der sendende CUPS. Wenn alles nix hilft würde ich anfangen über ein VPN nachzudenken um das Elend mit /interessant/ konfigurierten FWs/Filtern auf Providerseite auszuschließen. Oder einfach mal den Dienstleister mit nem Laptop unter dem Arm besuchen und die grundsätzliche Funktionalität vor Ort testen.
Alternativ versuche ich, dem Dienstleister den Unsinn auszureden - wer unsere IP fälschen kann, hat andere Möglichkeiten, in das Netz des Dienstleisters einzudringen. Und bevor der den Druckauftrag auf die Druckmaschine loslässt, ist ohnehin eine Freigabe via Mail erforderlich...
ähem Adressespoofing ist sooo schwer nun auch wieder nicht. -- Gruss Falk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Falk Sauer [22.07.2013 10:35]:
Alternativ versuche ich, dem Dienstleister den Unsinn auszureden - wer unsere IP fälschen kann, hat andere Möglichkeiten, in das Netz des Dienstleisters einzudringen. Und bevor der den Druckauftrag auf die Druckmaschine loslässt, ist ohnehin eine Freigabe via Mail erforderlich...
ähem Adressespoofing ist sooo schwer nun auch wieder nicht.
Bekannt. Aber warum sollte das jemand machen? Da werden Druckaufträge übertragen. Die Daten des Spoofers landen also in der Warteschlange. Und solange sie nicht explizit (durch relativ denkende Menschen) freigegeben werden bleiben sie da. Gibt es einen CUPS-Exploit, der so vorgeht? Gruß Werner -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hi Werner, Am Montag, 22. Juli 2013 10:46:03 schrieb Werner Flamme:
Falk Sauer [22.07.2013 10:35]:
ähem Adressespoofing ist sooo schwer nun auch wieder nicht.
Bekannt. Aber warum sollte das jemand machen? Da werden Druckaufträge übertragen. Die Daten des Spoofers landen also in der Warteschlange. Und solange sie nicht explizit (durch relativ denkende Menschen) freigegeben werden bleiben sie da. Gibt es einen CUPS-Exploit, der so vorgeht?
Es geht ja nicht um den Schaden bei den Nutzdaten sondern um ein mögliches einfallstor, ich würd halt nicht freiwillig ein potentielles Loch aufreissen wenn ich es vermeiden könnte und ein CUPS exploit ist wie bei jeder software nur eine Frage der Zeit. Alternativ könnte man noch mal von daheim aus testen wenn sich der provieder unterscheidet ... und aus dem ubuntu wiki: Bei einer Übertragung von Passwörtern wird aber standardmäßig immer auf Verschlüsselung umgeschaltet. Das ist zwar sinnvoll, kann aber zu Überraschungen führen, wenn man das erste Mal auf so eine Seite zugreift. Das SSL-Zertifikat wird nämlich erst dann erstellt, wenn es das erste Mal gebraucht wird, was zumindest auf älterer Hardware einige Zeit in Anspruch nehmen kann (in der es scheint, als hätte der Server sich aufgehängt). -- Gruss Falk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Falk Sauer [22.07.2013 15:45]:
Hi Werner,
Am Montag, 22. Juli 2013 10:46:03 schrieb Werner Flamme:
Falk Sauer [22.07.2013 10:35]:
ähem Adressespoofing ist sooo schwer nun auch wieder nicht.
Bekannt. Aber warum sollte das jemand machen? Da werden Druckaufträge übertragen. Die Daten des Spoofers landen also in der Warteschlange. Und solange sie nicht explizit (durch relativ denkende Menschen) freigegeben werden bleiben sie da. Gibt es einen CUPS-Exploit, der so vorgeht?
Es geht ja nicht um den Schaden bei den Nutzdaten sondern um ein mögliches einfallstor, ich würd halt nicht freiwillig ein potentielles Loch aufreissen wenn ich es vermeiden könnte und ein CUPS exploit ist wie bei jeder software nur eine Frage der Zeit.
Alternativ könnte man noch mal von daheim aus testen wenn sich der provieder unterscheidet ...
und aus dem ubuntu wiki: Bei einer Übertragung von Passwörtern wird aber standardmäßig immer auf Verschlüsselung umgeschaltet. Das ist zwar sinnvoll, kann aber zu Überraschungen führen, wenn man das erste Mal auf so eine Seite zugreift. Das SSL-Zertifikat wird nämlich erst dann erstellt, wenn es das erste Mal gebraucht wird, was zumindest auf älterer Hardware einige Zeit in Anspruch nehmen kann (in der es scheint, als hätte der Server sich aufgehängt).
Ich habe inzwischen hier einen Testcups in Betrieb. Der hat ein Zertifikat. Das wird in der virtuellen Maschine in Sekundenbruchteilen erstellt. Und die Maschine schickt keine Antwort, wenn ich eine Anfrage mit user:pass in die URL aufnehme. Ohne klappt alles. Mir fehlt immer noch die Quelle in der CUPS-Doku, in der steht, dass es überhaupt gehen soll. Gruß Werner -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 22.07.2013 15:57, schrieb Werner Flamme:
Falk Sauer [22.07.2013 15:45]:
Hi Werner,
Am Montag, 22. Juli 2013 10:46:03 schrieb Werner Flamme:
Falk Sauer [22.07.2013 10:35]:
ähem Adressespoofing ist sooo schwer nun auch wieder nicht.
Bekannt. Aber warum sollte das jemand machen? Da werden Druckaufträge übertragen. Die Daten des Spoofers landen also in der Warteschlange. Und solange sie nicht explizit (durch relativ denkende Menschen) freigegeben werden bleiben sie da. Gibt es einen CUPS-Exploit, der so vorgeht?
Es geht ja nicht um den Schaden bei den Nutzdaten sondern um ein mögliches einfallstor, ich würd halt nicht freiwillig ein potentielles Loch aufreissen wenn ich es vermeiden könnte und ein CUPS exploit ist wie bei jeder software nur eine Frage der Zeit.
Alternativ könnte man noch mal von daheim aus testen wenn sich der provieder unterscheidet ...
und aus dem ubuntu wiki: Bei einer Übertragung von Passwörtern wird aber standardmäßig immer auf Verschlüsselung umgeschaltet. Das ist zwar sinnvoll, kann aber zu Überraschungen führen, wenn man das erste Mal auf so eine Seite zugreift. Das SSL-Zertifikat wird nämlich erst dann erstellt, wenn es das erste Mal gebraucht wird, was zumindest auf älterer Hardware einige Zeit in Anspruch nehmen kann (in der es scheint, als hätte der Server sich aufgehängt).
Ich habe inzwischen hier einen Testcups in Betrieb. Der hat ein Zertifikat. Das wird in der virtuellen Maschine in Sekundenbruchteilen erstellt. Und die Maschine schickt keine Antwort, wenn ich eine Anfrage mit user:pass in die URL aufnehme. Ohne klappt alles.
Mir fehlt immer noch die Quelle in der CUPS-Doku, in der steht, dass es überhaupt gehen soll.
Gruß Werner
Hi, etwa so: http://localhost:631/help/spec-ipp.html?TOPIC=Specifications&QUERY=#device-uri cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hi Werner, Am Montag, 22. Juli 2013 15:57:21 schrieb Werner Flamme:
Falk Sauer [22.07.2013 15:45]:
und aus dem ubuntu wiki: Bei einer Übertragung von Passwörtern wird aber standardmäßig immer auf Verschlüsselung umgeschaltet. Das ist zwar sinnvoll, kann aber zu Überraschungen führen, wenn man das erste Mal auf so eine Seite zugreift. Das SSL-Zertifikat wird nämlich erst dann erstellt, wenn es das erste Mal gebraucht wird, was zumindest auf älterer Hardware einige Zeit in Anspruch nehmen kann (in der es scheint, als hätte der Server sich aufgehängt).
Ich habe inzwischen hier einen Testcups in Betrieb. Der hat ein Zertifikat. Das wird in der virtuellen Maschine in Sekundenbruchteilen erstellt. Und die Maschine schickt keine Antwort, wenn ich eine Anfrage mit user:pass in die URL aufnehme. Ohne klappt alles.
Mir fehlt immer noch die Quelle in der CUPS-Doku, in der steht, dass es überhaupt gehen soll.
mglw. ein ... woodway auf dem du da unterwegs bist ;-) ich wär da auch erstmal drauf rein gefallen, lies Dir mal das hier durch: http://www.gentooforum.de/artikel/15078/ipp-netzwerkdrucker-ber-cups-ben-tig... login-wie-konfigurieren.html Das kann man ja in nullkommanix mal probehalber nachstellen. -- Gruss Falk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Falk Sauer [22.07.2013 16:17]:
http://www.gentooforum.de/artikel/15078/ipp-netzwerkdrucker-ber-cups-ben-tig... login-wie-konfigurieren.html
Eine Superidee :-). Leider ist der Drucker ein Raw-Drucker, der kein PPD verwendet :-\ Aber derzeit ist der ISP am Überlegen dran am tun, ob er da überhaupt den richtigen Weg beschreitet. Er hat den CUPS auf AD-Auth eingestellt. Das ist natürlich bei einem reinen https:-Zugang, über den ich kein Ticket erhalte, etwas unzweckmäßig. Auf ein Neues... Gruß Werner -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
Falk Sauer
-
Joerg Thuemmler
-
Werner Flamme