

<br><font size=2 face="sans-serif">Hello Andy!</font>

<br>

<br><font size=2 face="sans-serif">I am sorry that I have to write to you

for my small problem with tac_plus, but the documentation doesn't seem

to fit the software and I can't figure it out otherwise</font>

<br><font size=2 face="sans-serif">My problem is that access lists in tac_plus

never deny access regardless of which hosts are permitted.</font>

<br>

<br><font size=2 face="sans-serif">My config is:</font>

<br>

<br><font size=2 face="sans-serif">&nbsp; &nbsp; acl = 1 {</font>

<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; deny = .*</font>

<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; }</font>

<br><font size=2 face="sans-serif">&nbsp;</font>

<br><font size=2 face="sans-serif">&nbsp; &nbsp; user = demo {</font>

<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;login

= cleartext &quot;test&quot;</font>

<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;service

= exec {</font>

<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&quot;acl&quot;

= 1</font>

<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;priv-lvl

= 1</font>

<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;}</font>

<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp;}</font>

<br>

<br>

<br><font size=2 face="sans-serif">And yet the request gets authorised:</font>

<br>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [17928]: login

query for 'demo' tty130 from 10.14.1.201 accepted</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: connect

from 10.14.1.201 [10.14.1.201]</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: Start

authorization request</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: do_author:

user='demo'</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: user

'demo' found</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: exec

authorization request for demo</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: exec

is explicitly permitted by line 31</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: nas:service=shell

(passed thru)</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: nas:cmd*

(passed thru)</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: nas:absent,

server:acl=1 -&gt; add acl=1 (k)</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: nas:absent,

server:priv-lvl=1 -&gt; add priv-lvl=1 (k)</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: added

2 args</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: out_args[0]

= service=shell input copy discarded</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: out_args[1]

= cmd* input copy discarded</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: out_args[2]

= acl=1 compacted to out_args[0]</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: out_args[3]

= priv-lvl=1 compacted to out_args[1]</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: 2

output args</font>

<br><font size=2 face="sans-serif">Thu Jun 28 16:10:28 2007 [18061]: authorization

query for 'demo' tty130 from 10.14.1.201 accepted</font>

<br>

<br>

<br><font size=2 face="sans-serif">I think I am using outdated configuration

syntax, but can't find documentation on the newer format.</font>

<br>

<br><font size=2 face="sans-serif">Could you, if you find the time, drop

me a hint on how to configure acls?</font>

<br>

<br><font size=2 face="sans-serif">thanks</font>

<br><font size=2 face="sans-serif">Georg</font>

<br>

<br>

<br>

<br>