n  $service – номер сервиса:

n  1 – login

n  2 – enable

n  3 – ppp

n  4 – arap

n  5 – pt

n  6 – rcmd

n  7 – X25

n  8 – NASI

n  9 – FWPROXY

n  $status – строка статуса работы соединения:

n  pass – успешное прохождение авторизации

n  fail – провал соединения

n  error – ошибка работы

n  unknown – неизвестная ошибка.

Указанный скрипт выполняется /bin/sh -c и должен быть составлен соответствующим образом. При создании подобных скриптов учтите, что они будут выполняться много раз для каждого пользователя, например, прохождение авторизации ppp, ip и так далее. Скрипт авторизации может сообщать о статусе работы через код завершения:

n  0 – всё нормально, авторизация разрешена;

n  1 – произошла ошибка, авторизация запрещена;

n  2 – авторизация разрешена, но на stdout скрипт кидает AV-пары, которые используются для дальнейшей авторизации (в обход настройкам tacacs), причём если в выводе содержатся пробелы, их необходимо экранировать кавычками;

n  3 – аналогично предыдущему, но авторизация запрещена.

Авторизационные скрипты – довольно полезная вещь: я, например, сделал скрипт, работающий с MySQL и исследующий пользователей, которые могут заходить на определённый свитч. Скрипты выполняются под тем же пользователем, что и tacacs-сервер, поэтому запускать его от рута не рекомендуется (см. настройки Makefile). Приведу простой пример конфигурации сервера с использованием скриптов:

group users{

    # Путь к скрипту, выполняющемуся до авторизации на сервере

    before authorization "/usr/libexec/tacacs/users_auth $user $name $address"

    # Разрешаем сервисы по умолчанию

    default service = permit

    service = exec {

           # Выполняем автопинг

           autocmd = "ping 192.168.2.1"

    }

}

Последняя вещь, о которой я хотел бы рассказать для настройки сервера tacacs, – установка учёта работы (accounting). Для начала работы системы учёта достаточно добавить строку accounting file = «path_to_file» на глобальном уровне: