Inet-Admins mailing list archive (inet-admins@info.east.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [inet-admins] tac+bwm+pasa-1.1 released
Павел, у меня есть патчи к Вашей версии tacacs 1.01. Они включают
некоторые правки для FreeBSD, а также дополнительные фичи. Если Вам
интересно на них взглянуть, могу выслать Вам патч.
Вот что там есть:
------------------------------------------------------------------------------
*** Добавлена (или восстановлена?) работоспособность строчки
message = "..." в файле конфигурации tacacs.conf.
*** Dollar substitution не только в before/after authorization,
но и в message = "..." и autocmd = "...", например:
group = test {
message = "Hello, $user on $name, port $port!"
service = exec {
autocmd = "rlogin some.host /user $user"
}
}
Управляется ключем компиляции -DMORE_SUBST.
*** Добавлен еще один login method:
login = permit
в этом случае пароль вообще не запрашивается.
Управляется ключем компиляции -DLOGIN_PERMIT.
*** Добавлен еще один аттрибут пользователя/группы:
enable = permit | deny | login | des "..."
При этом авторизация пользователя, выдавшего команду enable,
(для всех priv-lvl) проходит так:
permit -- пароль не запрашивается и разрешается
deny -- пароль не запрашивается и запрешается
login -- запрашивается и проверяется пароль пользователя
(его метод аутентикации). Если пароля нет
(включен login = permit), просто разрешается
des ... -- запрашивается и проверяется указанный
Работает обычная рекурсия для групп, а если после всего этот
атрибут не найден, то пробуется обычная авторизация enable.
Управляется ключем компиляции -DPERUSER_ENABLE.
*** Добавлен еще один login method:
login = radius "secretkey [radiusdhost [port]]"
в этом случае для аутентикации пользователя запрашивается удаленный
радиус-сервер на radiusdhost по порту port (по умолчанию 1645).
Ежели radiusdhost не указан, а имя пользователя имеет вид user@some.host,
запрашивается радиус на some.host.
Необязательная строчкa в файле конфигурации radiusdir = "..."
(по умолчанию /etc/raddb), задает каталог, в котором лежит файл
dictionary (он необходим для работы радиус-клиента).
Реализовано по мотивам релкомовского tac+.
Управляется ключем компиляции -DRADIUS_PROXY.
*** Добавлена возможность использовать регулярные выражения в
имени пользователя, например:
user = $uu.* {
. . .
}
При этом попытка сопоставить пользователя с образцами, указанными
в файле конфигурации, производится только если пользователь с
точно таким именен не найден.
Использован (с некоторыми изменениями и дополнениями) код из
релкомовского tac+.
Несовместимость: если задана опция компиляции -DNAMEISREGEXP,
псевдопользователи $enable$ и $enab%d$ в конфиге надо заменить на
__enable__ и __enab%d__.
Управляется ключем компиляции -DNAMEISREGEXP.
--
Serge Werner
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
|
