pap = des FgZq2fY7ZKP0l

    opap = des FgZq2fY7ZKP0l

    expires = "JAN 01 2010"

}

user user1{

    login = cleartext user_pass

    pap = pap_user_pass

    expires = "JAN 01 2003"

}

user $enab15${

    login = des Y7jk9zAd5F7Ix

}

user $enab1${

    login = cleartext level1secret

}

Сродни процессу аутентификации на сервере tac_plus, можно управлять процессом авторизации, т.е. предоставления пользователям определённых прав и запретов на использование команд или протоколов. Для определения прав авторизации используются регулярные выражения стиля grep (точнее, egerp, что позволяет использовать логические операции) и ключевые слова permit (разрешить) и deny (запретить). По умолчанию всё, что не разрешено, – запрещено. Это можно изменить, указав разрешения по умолчанию:

n  default authorization = permit – на глобальном уровне, разрешить все по умолчанию;

n  default service = permit – на уровне пользователя, разрешить все по умолчанию для данного пользователя;

n  default attribute = permit – на уровне описания сервиса, разрешить всё по умолчанию.

В процессе авторизации ключевыми являются три понятия: сервис (например, сервисы exec, slip, ppp, arap, shell, tty-daemon, connection, system), команда (например, telnet) и протокол. Приведу пример с комментариями:

user=admin {

    login = des 3EdghJk8acVB6

    member = administrators

    # Разрешаем всё на уровне пользователя

    default service = permit

    # Описание сервиса выполнения команд exec

    service = exec {

           # Устанавливаем список прав доступа для данного пользователя

           acl = 4

    # Выполняем команду при авторизации(автокоманда)

           autocmd = "telnet 192.168.1.2"

    }

    cmd = telnet {