tacplus.conf(5)

tacplus.conf − TACACS+ クライアントの設定ファイル

/etc/tacplus.conf

tacplus.conf は、TACACS+ クライアントライブラリの設定に必要な情報を含みま す。本ファイルは tac_config() が解釈します ( libtacplus(3) 参照)。本ファ イルは 1 行以上のテキスト行を含み、各行は、ライブラリが使用する単一の TACACS+ サーバについて記述します。行先頭の空白は、空行および、コメントの みの行と同様、無視されます。

1 つの TACACS+ サーバは、2 から 4 フィールドからなる 1 行により表現されま す。フィールドは空白によって区切られます。フィールドの先頭にある ‘#’ 文字 はコメントを開始し、行末まで続きます。フィールドはダブルクォートで括るこ とができ、この場合空白を含んだり、 ‘#’ 文字で開始することができます。 クォートされた文字列中では、ダブルクォート文字は ‘\"’ で表現可能であり、 バックスラッシュは ‘\\’ で表現可能です。他のエスケープシーケンスはサポー トされません。

最初のフィールドはサーバホストを指定します。完全な形でのドメイン名でもか まいませんし、ドット付き 4 つ組の IP アドレスでもかまいません。ホストの後 には ‘:’ と数値によるポート番号を続けることができます。間に空白を狭んでは なりません。ポートを指定しない場合、標準の TACACS+ ポート 49 になります。

第 2 フィールドには共有鍵が置かれます。これは、クライアントとサーバホスト 以外には知られてはなりません。共有鍵は任意の文字列ですが、空白を含む場合 や空の場合はダブルクォートで括る必要があります。共有鍵を空にすると、通常 の暗号化機構が無効化され、ネットワークを行き来する全データはクリアテキス トになります。

第 3 フィールドは、サーバとの通信時のタイムアウト秒数であり、 10 進数で指 定します。タイムアウトは、接続・書き込み・読み込みの各操作に別々に適用さ れます。このフィールドを省略すると、デフォルトの 3 秒になります。

省略可能な第 4 フィールドは、文字列 ‘single-connection’ を含んでかまいま せん。これを指定されると、ライブラリはサーバと交渉して、複数のセッション 用に TCP 接続をオープンしたままにしようとします。古い TACACS+ サーバに は、本オプションを指定すると混乱するものがあります。

10 個の TACACS+ サーバまで指定可能です。サーバは指定した順序で試され、有 効な返答が返されるか、リストが終わるまで続けられます。

このファイルの標準的な置き場所は /etc/tacplus.conf です。しかし、 tac_config() ( libtacplus(3) 参照) を呼び出すときに別のパス名を指定できま す。共有鍵という形で極めて慎重に扱うべき情報を格納するファイルですから、 root 以外には読めないようにすべきです。

/etc/tacplus.conf

# 全部デフォルトである単純なエントリ:

tacserver.domain.com

OurLittleSecret

# サーバは標準ではないポートを使用しており、
# タイムアウトを増加し、"single-connection" オプションを指定しています。

auth.domain.com:4333

"Don’t tell!!"

15

single-connection

# サーバを IP アドレスで指定:

192.168.27.81

$X*#..38947ax-+=

libtacplus(3)

この文書を John Polstra が書き、Juniper Networks, Inc. が FreeBSD プロ ジェクトに寄贈しました。

FreeBSD 10.0 July 29, 1998 FreeBSD 10.0