lib/libtacplus/tacplus.conf.5

   1 .\" Copyright 1998 Juniper Networks, Inc.
   2 .\" All rights reserved.
   3 .\"
   4 .\" Redistribution and use in source and binary forms, with or without
   5 .\" modification, are permitted provided that the following conditions
   6 .\" are met:
   7 .\" 1. Redistributions of source code must retain the above copyright
   8 .\"    notice, this list of conditions and the following disclaimer.
   9 .\" 2. Redistributions in binary form must reproduce the above copyright
  10 .\"    notice, this list of conditions and the following disclaimer in the
  11 .\"    documentation and/or other materials provided with the distribution.
  12 .\"
  13 .\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ``AS IS'' AND
  14 .\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  15 .\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  16 .\" ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
  17 .\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  18 .\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  19 .\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  20 .\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  21 .\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  22 .\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  23 .\" SUCH DAMAGE.
  24 .\"
  25 .Dd June 13, 2023
  26 .Dt TACPLUS.CONF 5
  27 .Os
  28 .Sh NAME
  29 .Nm tacplus.conf
  30 .Nd TACACS+ client configuration file
  31 .Sh SYNOPSIS
  32 .Pa /etc/tacplus.conf
  33 .Sh DESCRIPTION
  34 .Nm
  35 contains the information necessary to configure the TACACS+ client
  36 library.
  37 It is parsed by
  38 .Fn tac_config
  39 (see
  40 .Xr libtacplus 3 ) .
  41 The file contains one or more lines of text, each describing a
  42 single TACACS+ server which is to be used by the library.
  43 Leading
  44 white space is ignored, as are empty lines and lines containing
  45 only comments.
  46 .Pp
  47 A TACACS+ server is described by a minimum of two fields on a line.
  48 The fields are separated by whitespace and follow the same rules for
  49 comments, quoting, escaping, and line continuation as the POSIX shell.
  50 .Pp
  51 The first field specifies
  52 the server host, either as a fully qualified domain name or as a
  53 dotted-quad IP address.
  54 The host may optionally be followed by a
  55 .Ql \&:
  56 and a numeric port number, without intervening white space.
  57 If the
  58 port specification is omitted, it defaults to 49, the standard TACACS+
  59 port.
  60 .Pp
  61 The second field contains the shared secret, which should be known
  62 only to the client and server hosts.
  63 It is an arbitrary string
  64 of characters, though it must be enclosed in double quotes if it
  65 contains white space or is empty.
  66 An empty secret disables the
  67 normal encryption mechanism, causing all data to cross the network in
  68 cleartext.
  69 .Pp
  70 The optional third field may contain a decimal integer specifying the
  71 timeout in seconds for communicating with the server.
  72 The timeout applies
  73 separately to each connect, write, and read operation.
  74 If this field is omitted, it defaults to 3 seconds.
  75 .Pp
  76 The optional fourth field may contain the string
  77 .Ql single-connection .
  78 If this option is included, the library will attempt to negotiate
  79 with the server to keep the TCP connection open for multiple
  80 sessions.
  81 Some older TACACS+ servers become confused if this option
  82 is specified.
  83 .Pp
  84 Any subsequent fields must be of the form
  85 .Ar attribute Ns = Ns Ar value
  86 and will be appended to authorization responses as if they had been
  87 sent by the server.
  88 .Pp
  89 Up to 10 TACACS+ servers may be specified.
  90 The servers are tried in
  91 order, until a valid response is received or the list is exhausted.
  92 .Pp
  93 The standard location for this file is
  94 .Pa /etc/tacplus.conf .
  95 An alternate pathname may be specified in the call to
  96 .Fn tac_config
  97 (see
  98 .Xr libtacplus 3 ) .
  99 Since the file contains sensitive information in the form of the
 100 shared secrets, it should not be readable except by root.
 101 .Sh FILES
 102 .Bl -tag -width Pa
 103 .It Pa /etc/tacplus.conf
 104 .El
 105 .Sh EXAMPLES
 106 .Bd -literal
 107 # A simple entry using all the defaults:
 108 tacserver.domain.com    OurLittleSecret
 109
 110 # A server using a non-standard port, with an increased timeout and
 111 # the "single-connection" option, and overrides for the for uid, gid
 112 # and shell attributes.
 113 auth.domain.com:4333    "Don't tell!!"  15      single-connection \e
 114     uid=1001 gid=20 shell="/usr/local/bin/zsh"
 115
 116 # A server specified by its IP address:
 117 192.168.27.81           $X*#..38947ax-+=        shell="/sbin/nologin"
 118 .Ed
 119 .Sh SEE ALSO
 120 .Xr libtacplus 3
 121 .Sh AUTHORS
 122 This documentation was written by
 123 .An John Polstra ,
 124 and donated to the
 125 .Fx
 126 project by Juniper Networks, Inc.