home *** CD-ROM | disk | FTP | other *** search
/ OS/2 Shareware BBS: 35 Internet / 35-Internet.zip / xtacacsd.zip / xtacacsd.man < prev    next >
Text File  |  1999-09-09  |  15KB  |  331 lines
  1.  
  2.  
  3.  
  4. XTACACSD(8)                                           XTACACSD(8)
  5.  
  6.  
  7. NNAAMMEE
  8.        xtacacsd - Extended TAC Access Control server
  9.  
  10. SSYYNNOOPPSSIISS
  11.        xxttaaccaaccssdd  [  --ddllnnqqss  ]  [  --uu _u_t_m_p_f_i_l_e ] [ --ww _w_t_m_p_f_i_l_e ] [
  12.        _f_i_l_e_n_a_m_e._..  ]
  13.                --dd  _(_d_e_b_u_g_)
  14.                --ll  _(_l_o_g _a_c_t_i_o_n_s _v_i_a _s_y_s_l_o_g_)
  15.                --nn  _(_d_i_s_a_b_l_e _u_s_e _o_f _n_a_m_e_s_e_r_v_e_r_)
  16.                --qq  _(_q_u_i_e_t _m_o_d_e_-  _d_e_n_y _t_y_p_e _r_e_s_p_o_n_s_e_s _n_o_t _s_e_n_t _o_u_t_)
  17.                --ss  _(_s_t_a_n_d_a_l_o_n_e _m_o_d_e_- _d_e_f_a_u_l_t _v_i_a  iinneettdd_)
  18.  
  19. DDEESSCCRRIIPPTTIIOONN
  20.        xxttaaccaaccssdd is an _e_x_t_e_n_d_e_d TACACS server which  authenticates
  21.        users  logging  onto  a terminal server (or any host which
  22.        cares to query the server). This version of  xxttaaccaaccssdd  has
  23.        the following features:
  24.  
  25.        -      Can run under _i_n_e_t_d or in standalone mode as a dae-
  26.               mon.
  27.  
  28.        -      can process either the old tacacs  queries  or  the
  29.               new extended tacacs format queries.
  30.  
  31.        -      can process multiple password files (upto 5 files).
  32.  
  33.        -      optionally  disable  the  use  of  nameservers  for
  34.               faster  response  times  or  avoid depending on the
  35.               nameservers.
  36.  
  37.        -      optionally not send DENY type responses so that the
  38.               client can query multiple tacacs servers.
  39.  
  40.        -      log queries from terminal servers in different _w_t_m_p
  41.               files (depending on where the query came from).
  42.  
  43.        -      converts all query names to lowercase  (useful  for
  44.               SLIP queries and looking up in the nameserver).
  45.  
  46.        -      group  id  of user is processed for controlling the
  47.               number of logins and denying access.
  48.  
  49.        -      group id of user is used to get the access list for
  50.               the user on the terminal server. The group id wraps
  51.               after MAXACCESSLIST (99)- thus a group id  of  1075
  52.               will yield an access list number of 75.
  53.  
  54.        -      the  access  list for the user when SLIP is invoked
  55.               (slip_on) is one higher than the access list number
  56.               at  login. Thus, if the group id is 1075, the login
  57.               access list number is 75, and the slip access  list
  58.               number  will be 76. This allows more control of the
  59.               user depending on whether he/she is in _s_l_i_p mode or
  60.               in  _l_o_g_i_n  mode  (this  might  be  a highly JvNCnet
  61.  
  62.  
  63.  
  64.                           April 29, 1992                        1
  65.  
  66.  
  67.  
  68.  
  69.  
  70. XTACACSD(8)                                           XTACACSD(8)
  71.  
  72.  
  73.               specific feature).
  74.  
  75.        -      configurable password for SLIP requests for  tacacs
  76.               ddeeffaauulltt  queries  (used  for  statically configured
  77.               lines).
  78.  
  79.        This program can be used to authenticate users  when  they
  80.        try  to  access a terminal server ( _c_i_s_c_o terminal servers
  81.        support this option). The server can log information about
  82.        all  queries  coming  to  the  server using ssyysslloogg..  It is
  83.        meant to be invoked by iinneettdd but can be run from a  termi-
  84.        nal in standalone mode if desired. In this mode, it writes
  85.        all errors to the controlling terminal.
  86.  
  87.        The server expects a _u_s_e_r_n_a_m_e and _p_a_s_s_w_o_r_d to be  supplied
  88.        in  the  query  packet recieved from the terminal servers.
  89.        This username and password are authenticated by  searching
  90.        in  the password file(s).  (The default is _/_e_t_c_/_p_a_s_s_w_d but
  91.        upto five alternate filenames can be specified on the com-
  92.        mand line).  If it cannot find a match in any of the pass-
  93.        word files, it sends an _a_u_t_h_e_n_t_i_c_a_t_i_o_n  _f_a_i_l_u_r_e  reply  to
  94.        the  query  (unless the _q_u_i_e_t option is specified in which
  95.        case no negative response will be sent).
  96.  
  97.        The server always returns an  authentication  failure  for
  98.        any  queries  that have a uid of 0 ( _r_o_o_t _u_i_d ) or for any
  99.        users that do not have a password in the  password  files.
  100.        It  also  verifies  that  the  account  is current and not
  101.        expired if the last password field  (  _p_w___s_h_e_l_l_)  supports
  102.        this  feature. Lastly, the group id of the user is checked
  103.        for the number of allowable logins (by masking all  except
  104.        the  last  digit  in the group id) and if access should be
  105.        denied (see compile time options below). This can be  used
  106.        to  control the number of logins and also deny access to a
  107.        certain group of users.
  108.  
  109.        SLIP queries are all made in uppercase.  Since  most  Unix
  110.        accounts  are  lowercase,  this program converts all query
  111.        usernames to lowercase (if TOLOWER is defined during  com-
  112.        pile  time). Note that this causes authentication problems
  113.        for mixed case usernames like _U_j_v_n_c_n_e_t.
  114.  
  115. OOPPTTIIOONNSS
  116.        --dd     _(_d_e_b_u_g_) Logs additional debugging  information  (to
  117.               _s_y_s_l_o_g  or  on  the  terminal  in standalone mode).
  118.               Extensive debugging information is obtained by com-
  119.               piling the program with the DDEEBBUUGG option.
  120.  
  121.        --ss     _(_s_t_a_n_d_a_l_o_n_e_)  When  the  server is run in the stan-
  122.               dalone mode, it sits in an endless loop waiting for
  123.               data  to  arrive  on  the TACACS port. If the debug
  124.               ((--dd)) option is not specified, the program forks and
  125.               detaches  itself from the controlling terminal. All
  126.               errors are logged to _s_t_d_e_r_r.
  127.  
  128.  
  129.  
  130.                           April 29, 1992                        2
  131.  
  132.  
  133.  
  134.  
  135.  
  136. XTACACSD(8)                                           XTACACSD(8)
  137.  
  138.  
  139.        --ll     _(_l_o_g_g_i_n_g_) With this option,  the  server  logs  all
  140.               queries  that  it  serves  via  ssyysslloogg  at the INFO
  141.               level. Without this option, only errors are logged.
  142.               The  logging  is done at either the DAEMON facility
  143.               or the LOCAL6 facility (see  compile  time  options
  144.               below).
  145.  
  146.        --nn     _(_n_o _n_a_m_e_s_e_r_v_e_r_) This option disables the use of the
  147.               nameserver  to  resolve  internet  addresses   into
  148.               names.  This  speeds up responses in case the name-
  149.               server is heavily loaded or is down.
  150.  
  151.        --qq     _(_q_u_i_e_t_) So that the server does not  send  _n_e_g_a_t_i_v_e
  152.               responses  to  a  query.  Thus a client can ask the
  153.               next tacacs server in its list in case of  a  time-
  154.               out.  Note  that if a user has accounts on two sys-
  155.               tems with tacacs servers,  and  if  the  number  of
  156.               logins  in  being controlled via the group-id, then
  157.               the second server might  respond  even  though  the
  158.               maximum number of allowable logins has been reached
  159.               on the first tacacs server.
  160.  
  161.        --uu _<_u_t_m_p_f_i_l_e_>
  162.               specifies an alternate _u_t_m_p file to be searched for
  163.               the  number  of allowed logins. The default file is
  164.               //eettcc//uuttmmpp.  Note that the xxttaaccaaccssdd server does  not
  165.               delete  entries  in  the utmp file when a user logs
  166.               out, so this file is different from the  _w_t_m_p  file
  167.               (which  is  a  sequential  log  of  all  logins and
  168.               logouts on the system).
  169.  
  170.        --ww _<_w_t_m_p_f_i_l_e_>
  171.               Extended tacacs logs the times that a user connects
  172.               to  the  terminal server, logs out or enables _s_l_i_p.
  173.               All queries are  logged  to  different  _w_t_m_p  files
  174.               whose name is constructed by appending the hostname
  175.               in front of the master _w_t_m_p file name. All  queries
  176.               from  all  terminal  servers are also logged in the
  177.               master _w_t_m_p file. All _s_l_i_p queries  are  logged  in
  178.               the file _<_w_t_m_p_>..sslliipp This is done to aid accounting
  179.               programs like aacc(8).
  180.  
  181.        ffiilleess  _<_a_l_t_e_r_n_a_t_e _p_a_s_s_w_o_r_d  _f_i_l_e_s_>  By  default  the  file
  182.               //eettcc//ppaasssswwdd  is used for verifying the username and
  183.               the password in a tacacs query.   However,  upto  5
  184.               alternate  password  files  can be specified on the
  185.               command line and the server will search in all  the
  186.               files  until  it  finds  a  match or else return an
  187.               error. The alternate password files must be in  the
  188.               //eettcc//ppaasssswwdd format so that the _g_e_t_p_w_e_n_t(3) routines
  189.               can be used on them.
  190.  
  191. CCOOMMPPIILLEE TTIIMMEE OOPPTTIIOONNSS
  192.        The complete list of compile time options are described in
  193.  
  194.  
  195.  
  196.                           April 29, 1992                        3
  197.  
  198.  
  199.  
  200.  
  201.  
  202. XTACACSD(8)                                           XTACACSD(8)
  203.  
  204.  
  205.        the  Makefile  and the source code. The most relevant ones
  206.        (to use) are described here.
  207.  
  208.        -      If  the  U_NUMLOGINS_GID  and  U_NUMLOGINS_GID  are
  209.               defined while compiling, the user's group-id in the
  210.               passwd file is used a a measure of  allowed  logins
  211.               The last digit of the gid is masked and used as the
  212.               number  of  allowed  logins.   The  UUTTMMPP   (default
  213.               _/_e_t_c_/_u_t_m_p)  file is searched for the number of cur-
  214.               rent  logins.  If  the  number  of  current  logins
  215.               exceeds the number of allowable logins then a nega-
  216.               tive response is set (unless the _q_u_i_e_t option is in
  217.               effect).  Undefine  either  one of these to disable
  218.               this feature.
  219.  
  220.        -      Users with their group id  between  U_DENY_GID  and
  221.               L_DENY_GID  are  denied access. Undefine or comment
  222.               out either one to disable this feature.
  223.  
  224.        -      All SLIP queries are in uppercase (for cciissccoo termi-
  225.               nal  servers).  If  the  program  is  compiled with
  226.               TOLOWER defined, then all usernames  are  converted
  227.               to lowercase.
  228.  
  229.        -      The  extended tacacs queries are logged in the _w_t_m_p
  230.               format by the server. To help in  accounting,  each
  231.               terminal server has its own _w_t_m_p file. The name and
  232.               location of these files are  formed  by  prepending
  233.               the  value  of  WWTTMMPP  to  the  name of the terminal
  234.               server. The default value  is  //eettcc//wwttmmpp,  implying
  235.               that  queries  from wwoorrmmhhoollee..ffoooo..eedduu will be logged
  236.               in the file //eettcc//wwttmmpp..wwoorrmmhhoollee.   Set  this  during
  237.               compile  time  to  change  the location of the wtmp
  238.               files. It is advised to create a separate directory
  239.               if there are a large number of terminal servers.
  240.  
  241.        -      For queries with the username of ddeeffaauulltt (for stat-
  242.               ically assigned  IP  addresses),  the  password  is
  243.               defined as DEFAULTS_IP_PASSWORD. Note that the pro-
  244.               gram should be installed with read access denied to
  245.               the world so that this password cannot be extracted
  246.               from the binary.
  247.  
  248. UUSSEEFFUULL TTIIDDBBIITTSS
  249.        -      The //eettcc//uuttmmpp file on Unix systems keeps  track  of
  250.               the  users  _c_u_r_r_e_n_t_l_y  logged  on  the  system,  as
  251.               opposed to the //eettcc//wwttmmpp file which lists  all  the
  252.               logins and logouts in the life of the current file.
  253.  
  254.        -      llaasstt(1) wwhhoo(1) ppaasssswwdd(1) all support alternate file
  255.               names  on  the  command  line.  These standard Unix
  256.               utilities allow  looking  and  modifying  alternate
  257.               _w_t_m_p or _p_a_s_s_w_d files.
  258.  
  259.  
  260.  
  261.  
  262.                           April 29, 1992                        4
  263.  
  264.  
  265.  
  266.  
  267.  
  268. XTACACSD(8)                                           XTACACSD(8)
  269.  
  270.  
  271.        -      Sun  workstations  (perhaps  others  too)  have  an
  272.               accounting tool under //vvaarr//aaddmm//aacccctt//nniittee//ffwwttmmpp that
  273.               can  help  modify  and repair corrupted _w_t_m_p format
  274.               files.
  275.  
  276.        -      Multiple user entries can show up in the _w_t_m_p files
  277.               if  the terminal servers do not recieve an acknowl-
  278.               edgement in time from the tacacs  server  and  send
  279.               out multiple requests or log messages to the tacacs
  280.               server.  llaasstt(1) takes care of such multiple  bogus
  281.               entries in its output.
  282.  
  283.        -      The  alternate  password  files  can be set to _r_o_o_t
  284.               readable only if so desired since the server is run
  285.               as _r_o_o_t from iinneettdd.
  286.  
  287. FFIILLEESS
  288.        //eettcc//xxttaaccaaccssdd       the main server
  289.  
  290.        //eettcc//ppaasssswwdd         default password file used for authen-
  291.                            tication
  292.  
  293.        //eettcc//uuttmmpp           default file used to check  number  of
  294.                            allowed logins
  295.  
  296.        //eettcc//wwttmmpp           default  file  prefix used for logging
  297.                            all logins and logouts. The  extension
  298.                            _._s_l_i_p  is  used  for  logging the SLIP
  299.                            events.
  300.  
  301. SSEEEE AALLSSOO
  302.        llaasstt(1)  iinneettdd(8)  iinneettdd..ccoonnff(5),  sseerrvviicceess(5),  ssyysslloogg(8)
  303.        ssyysslloogg..ccoonnff(5)
  304.  
  305.        _T_A_C_A_C_S  _U_s_e_r  _I_d_e_n_t_i_f_i_c_a_t_i_o_n _T_e_l_n_e_t _O_p_t_i_o_n Brian A. Ander-
  306.        son, _R_F_C _9_2_7
  307.  
  308. AAUUTTHHOORR
  309.        Greg Satz (satz@cisco.com), Cisco Systems.  Original  ver-
  310.        sion
  311.  
  312.        Pushpendra  Mohta (pushp@cerf.net), CERFnet. Added _n_o_n_a_m_e_-
  313.        _s_e_r_v_e_r and multiple wtmp file capability.
  314.  
  315.        Vikas Aggarwal (vikas@jvnc.net), JvNCnet.  Added  multiple
  316.        password  files, _l_o_w_e_r_c_a_s_e, _q_u_i_e_t, group id features, man-
  317.        ual page and cleaned up code for easy customization.
  318.  
  319. DDIIAAGGNNOOSSTTIICCSS
  320.        Exit status is normally 0.
  321.  
  322.  
  323.  
  324.  
  325.  
  326.  
  327.  
  328.                           April 29, 1992                        5
  329.  
  330.  
  331.