# login = file /etc/tacacs_passwd, но учтите, что пока tac_plus не работает с md5-паролями, так что в этом

    # файле все пароли должны быть зашифрованы методом DES

    login = cleartext users_password

}

user user1{

    # Пользователь принадлежит группе и наследует все параметры из определения группы, включая пароль

    member = users

}

user power_user{

    # Переопределение атрибута группы

    login = des F5qT7Ha7AflP0

    member = users

}

user lamer{

    # А этот, видимо, и пароль ввести сам не может :)

    login = nopassword

    member = users

}

Важное замечание: если пароль указывается из файла (file path_to_file), то необходимо преобразовать стандартный файл формата passwd в формат tacacs (tacacs считает номер группы номером списка прав доступа acl). Для этого используется поставляемая утилита convert.pl -g <passwdfile>.

Группы tacacs могут являться членами других групп, наследуя все атрибуты контейнера. Учтите, что файл конфигурации tacacs содержит некоторые пароли в незашифрованном виде, поэтому надо обязательно выполнить правильный chmod 0400 для пользователя, под которым работает tacacs. Кроме этого, для аутентификации можно использовать несколько дополнительных весьма полезных параметров:

n  expires = «Month_short DD YYYY» – конец работы данной учётной записи. Пользователь получает предупреждение за 14 дней до cрока, например: expires = «JAN 12 2003» (регистр не имеет значения, не забудьте про кавычки);

n  arap = cleartext arap_pass – пароль для arap;

n  chap = cleartext chap_pass – пароль для chap-соединений (нельзя использовать шифрование);

n  ms-chap = cleartext ms-chap_pass – пароль для ms-chap (если tacacs был собран с поддержкой этого протокола), если не был «получен ms-chap ключ от Microsoft», то работать можно только с cleartext-паролями;

n  pap = cleartext pap_pass – пароль для входящих pap-соединений, его можно шифровать DESom;

n  opap = cleartext opap_pass – пароль для исходящих pap-соединений (работает аналогично предыдущему).

В Cisco IOS также предусмотрен ряд специальных пользователей, соответствующих уровням доступа к системе (enable), их имена выглядят следующим образом: $enab<n>$, где <n> – требуемый уровень доступа к системе (имеется также пользователь $enable$ для старых версий IOS). Приведу простой пример всему вышесказанному (комментарии, думаю, будут излишни):

user admin{

    login = des FgZq2fY7ZKP0l