<div dir="ltr">Thanks Alan - quick clarification, if you want to use do_auth, it MUST be able to accept exit value of 2.  For instance, HP (at least the old junk I've played with) and Cisco WLC won't, and that completely breaks do_auth's ability to modify the return pairs.  It can still deny or accept based on IP addr', but it can't modify any roles set in tac_plus.  Nexus works though. <div><br></div><div>It looks like <a href="http://tacacs.org">tacacs.org</a> is completely gone, along with all the examples I had put up there back when I had time to do that sort of thing.  That certainly sucks. </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 6, 2015 at 10:14 AM, Alan McKinnon <span dir="ltr"><<a href="mailto:alan.mckinnon@gmail.com" target="_blank">alan.mckinnon@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 06/01/2015 17:56, Munroe Sollog wrote:<br>

> I have a server that supports tacacs+ but requires me to send a user attribute of 'role' that<br>

> needs to be either 'admin' or 'read-only' along with the authentication.  I'm looking for<br>

> documenation for how to do this but I can't seem to find anything useful.<br>

<br>

<br>

</span>Hi Munroe<br>

<br>

What you want is this inside a group definition:<br>

<br>

service = exec {<br>

  role = admin<br>

}<br>

<br>

or<br>

<br>

service = exec {<br>

  role = read-only<br>

}<br>

<br>

I assume this is for login authorization, and the device uses a service<br>

called "exec"..<br>

<br>

Keep in mind that this runs out of steam very quickly, mostly because<br>

tac_plus.conf is designed to do whatever it does globally. You can't<br>

easily specify this per-host without breaking other things for example.<br>

<br>

If you run into this yourself, switch to using Dan Schmidt's do_auth<br>

script shipped with recent versions of tac_plus. It gives you vastly<br>

more control.<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

Alan McKinnon<br>

<a href="mailto:alan.mckinnon@gmail.com">alan.mckinnon@gmail.com</a><br>

</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>

tac_plus mailing list<br>

<a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>

<a href="http://www.shrubbery.net/mailman/listinfo/tac_plus" target="_blank">http://www.shrubbery.net/mailman/listinfo/tac_plus</a><br>

</div></div></blockquote></div><br></div>

<pre>

E-Mail to and from me, in connection with the transaction 

of public business, is subject to the Wyoming Public Records 

Act and may be disclosed to third parties.