前言在 Linux 环境中管理打印机CUPSCommon UNIX Printing System是最常用的解决方案。它提供了 Web 管理界面方便用户远程查看打印机状态、管理打印任务。然而不少管理员在使用 Web 界面取消打印任务时会遇到一个令人困惑的错误任务操作失败: 已禁止本文记录了我在 Ubuntu 24.04.3 LTS 环境中解决这一问题的完整过程从现象复现、原理分析到最终解决希望能为遇到类似问题的同行提供参考。一、问题现象1.1 环境信息项目信息操作系统Ubuntu 24.04.3 LTS (GNU/Linux 6.8.0-90-generic)打印服务CUPS客户端MobaXterm v24.2 (SSH)问题打印机HP-LaserJet-13201.2 问题描述管理员通过 CUPS Web 界面http://localhost:631/printers/查看打印机状态时发现一台打印机存在卡住的打印任务。点击Cancel Job按钮取消任务时页面返回错误提示任务 Error任务操作失败: 已禁止与此同时通过命令行检查打印机状态发现打印机已经恢复正常p303printer303:~$ lpstat-pprinter HP-LaserJet-1320 now printing HP-LaserJet-1320-2159. enabled since Mon Jun2903:17:272026这表明打印服务本身没有问题问题出在Web 界面的操作权限上。二、原理分析CUPS 的权限模型在动手解决之前有必要理解 CUPS 的权限体系。CUPS 的权限控制分为两个层次2.1 访问控制层Access Control由Location和Order allow,deny/Order deny,allow指令控制。Order deny,allow的含义是先处理拒绝规则再处理允许规则即“白名单”逻辑。反之Order allow,deny是“黑名单”逻辑。查看配置文件p303printer303:~$sudocat/etc/cups/cupsd.confLocation / Order allow,deny Allow all /Location Location /admin Order allow,deny Allow all /Location由于配置了Allow all所有 IP 地址均能访问因此问题不在此层。2.2 授权层Authorization由Limit块中的Require user指令控制。以取消任务Cancel-Job为例Limit Cancel-Job Require user OWNER SYSTEM Order deny,allow /Limit其中OWNER任务的提交者即打印任务的创建者SYSTEM系统管理组其具体成员由/etc/cups/cups-files.conf中的SystemGroup定义因此只有任务所有者或系统管理组成员才有权取消任务。2.3 关键配置SystemGroup查看SystemGroup的定义p303printer303:~$grep^SystemGroup/etc/cups/cups-files.conf SystemGroup lpadmin root这表明SYSTEM包含两个组lpadminroot也就是说任何属于lpadmin组或root组的用户都拥有系统管理权限包括取消任意打印任务。三、问题定位3.1 检查当前用户组p303printer303:~$groupsp303 adm cdromsudodip plugdev lxd输出中没有lpadmin也没有root。因此用户p303不属于SYSTEM。3.2 检查lpadmin组是否存在p303printer303:~$ getent group lpadmin lpadmin:x:108:组存在但成员列表为空冒号后面没有用户名。这意味着lpadmin组已经存在p303不在该组中因此p303不满足Require user SYSTEM的条件3.3 结论Web 界面操作时当前登录用户p303不属于lpadmin组不满足 CUPS 的Cancel-Job授权条件因此返回“已禁止”错误。四、解决方案4.1 核心命令将用户加入管理组sudousermod-aGlpadmin p303命令解析usermod修改用户账户信息-aG-aappend表示追加-Ggroups指定附加组列表lpadmin目标组名p303用户名⚠️重要-a参数必须与-G一起使用否则会覆盖用户原有的所有附属组导致用户失去 sudo 等权限。4.2 验证添加结果p303printer303:~$ getent group lpadmin lpadmin:x:108:p303确认p303已出现在lpadmin组的成员列表中。4.3 使组权限生效组权限不会在当前会话中自动生效必须重新登录exit然后重新建立 SSH 连接登录后再次验证p303printer303:~$groupsp303 adm cdromsudodip plugdev lxd lpadmin输出中已包含lpadmin权限生效。五、最终验证5.1 命令行验证可选使用curl模拟 Web 认证请求验证取消任务的权限curl-up303:密码-XPOSThttp://localhost:631/jobs/2159-dOPcancel返回正常页面即表示权限配置成功。5.2 Web 界面验证访问http://localhost:631/printers/选择目标打印机点击Cancel Job浏览器弹出认证框输入用户名p303和对应的密码任务成功取消 ✅六、关键命令总结命令作用lpstat -p查看打印机状态lpstat -o查看打印队列groups查看当前用户所属组getent group 组名检查组是否存在及成员sudo usermod -aG 组名 用户将用户加入指定组sudo cancel 任务ID命令行取消打印任务sudo systemctl restart cups重启 CUPS 服务修改配置后七、安全建议最小权限原则仅将需要管理打印机的用户加入lpadmin组避免普通用户获得过高权限。使用专用管理账户建议创建独立的管理员账号用于打印机管理而非使用日常办公账号。定期审计组成员定期检查lpadmin组成员列表确保没有未经授权的用户。Web 界面安全如果 CUPS Web 界面暴露在外网建议配置 HTTPS 和强密码策略。八、彩蛋为什么 MobaXterm 重新登录后组权限生效了Linux 的用户组信息是在登录时由login或sshd进程从/etc/group读取并加载到会话中的。usermod修改的是磁盘上的/etc/group文件不会影响已经存在的会话。因此即使命令执行成功当前 SSH 会话中的groups输出仍然不会包含lpadmin。只有重新登录创建新会话时系统才会重新读取组信息使新权限生效。九、总结CUPS 的权限体系清晰而严谨。当 Web 界面提示“已禁止”时问题通常出在用户不属于SYSTEM所定义的组。解决路径如下确认SystemGroup配置通常在/etc/cups/cups-files.conf将操作用户加入对应的组如lpadmin重新登录使权限生效验证操作本文记录的问题虽然简单但涉及 Linux 用户组管理、CUPS 权限模型、会话机制等多个知识点是一个典型的“小问题、深原理”的排障案例。希望对你有所帮助。本文基于真实排障过程整理所有命令均可复现。作者p303日期2026-06-29