<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 6, 2015 at 12:40 PM, Daniel Schmidt <span dir="ltr"><<a href="mailto:daniel.schmidt@wyo.gov" target="_blank">daniel.schmidt@wyo.gov</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Thanks Alan - quick clarification, if you want to use do_auth, it MUST be<br>
able to accept exit value of 2.  For instance, HP (at least the old junk<br>
I've played with) and Cisco WLC won't, and that completely breaks do_auth's<br>
ability to modify the return pairs.  It can still deny or accept based on<br>
IP addr', but it can't modify any roles set in tac_plus.  Nexus works<br>
though.<br>
<br>
It looks like <a href="http://tacacs.org" target="_blank">tacacs.org</a> is completely gone, along with all the examples I<br>
had put up there back when I had time to do that sort of thing.  That<br>
certainly sucks.<br></blockquote><div><br></div><div>I guess you can collect them back through wayback?</div><div><br></div><div> <a href="https://web.archive.org/web/20110506210622/http://tacacs.org/">https://web.archive.org/web/20110506210622/http://tacacs.org/</a></div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
On Tue, Jan 6, 2015 at 10:14 AM, Alan McKinnon <<a href="mailto:alan.mckinnon@gmail.com">alan.mckinnon@gmail.com</a>><br>
wrote:<br>
<div><div class="h5"><br>
> On 06/01/2015 17:56, Munroe Sollog wrote:<br>
> > I have a server that supports tacacs+ but requires me to send a user<br>
> attribute of 'role' that<br>
> > needs to be either 'admin' or 'read-only' along with the<br>
> authentication.  I'm looking for<br>
> > documenation for how to do this but I can't seem to find anything useful.<br>
><br>
><br>
> Hi Munroe<br>
><br>
> What you want is this inside a group definition:<br>
><br>
> service = exec {<br>
>   role = admin<br>
> }<br>
><br>
> or<br>
><br>
> service = exec {<br>
>   role = read-only<br>
> }<br>
><br>
> I assume this is for login authorization, and the device uses a service<br>
> called "exec"..<br>
><br>
> Keep in mind that this runs out of steam very quickly, mostly because<br>
> tac_plus.conf is designed to do whatever it does globally. You can't<br>
> easily specify this per-host without breaking other things for example.<br>
><br>
> If you run into this yourself, switch to using Dan Schmidt's do_auth<br>
> script shipped with recent versions of tac_plus. It gives you vastly<br>
> more control.<br>
><br>
> --<br>
> Alan McKinnon<br>
> <a href="mailto:alan.mckinnon@gmail.com">alan.mckinnon@gmail.com</a><br>
> _______________________________________________<br>
> tac_plus mailing list<br>
> <a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>
> <a href="http://www.shrubbery.net/mailman/listinfo/tac_plus" target="_blank">http://www.shrubbery.net/mailman/listinfo/tac_plus</a><br>
><br>
<br>
<br>
</div></div>E-Mail to and from me, in connection with the transaction<br>
of public business, is subject to the Wyoming Public Records<br>
Act and may be disclosed to third parties.<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="http://www.shrubbery.net/pipermail/tac_plus/attachments/20150106/67a9c8dd/attachment.html" target="_blank">http://www.shrubbery.net/pipermail/tac_plus/attachments/20150106/67a9c8dd/attachment.html</a>><br>
<div class=""><div class="h5">_______________________________________________<br>
tac_plus mailing list<br>
<a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>
<a href="http://www.shrubbery.net/mailman/listinfo/tac_plus" target="_blank">http://www.shrubbery.net/mailman/listinfo/tac_plus</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Asif Iqbal<br>PGP Key: 0xE62693C5 KeyServer: <a href="http://pgp.mit.edu">pgp.mit.edu</a><br>A: Because it messes up the order in which people normally read text.<br>Q: Why is top-posting such a bad thing?<br><br></div>
</div></div>