usr.bin/login/login.access

   1 #
   2 # Login access control table.
   3 #
   4 # When someone logs in, the table is scanned for the first entry that
   5 # matches the (user, host) combination, or, in case of non-networked
   6 # logins, the first entry that matches the (user, tty) combination.  The
   7 # permissions field of that table entry determines whether the login will
   8 # be accepted or refused.
   9 #
  10 # Format of the login access control table is three fields separated by a
  11 # ":" character:
  12 #
  13 #       permission : users : origins
  14 #
  15 # The first field should be a "+" (access granted) or "-" (access denied)
  16 # character. The second field should be a list of one or more login names,
  17 # group names, or ALL (always matches).  The third field should be a list
  18 # of one or more tty names (for non-networked logins), host names, domain
  19 # names (begin with "."), host addresses, internet network numbers (end
  20 # with "."), ALL (always matches) or LOCAL (matches any string that does
  21 # not contain a "." character). If you run NIS you can use @netgroupname
  22 # in host or user patterns.
  23 #
  24 # The EXCEPT operator makes it possible to write very compact rules.
  25 #
  26 # The group file is searched only when a name does not match that of the
  27 # logged-in user. Only groups are matched in which users are explicitly
  28 # listed: the program does not look at a user's primary group id value.
  29 #
  30 ##############################################################################
  31 #
  32 # Disallow console logins to all but a few accounts.
  33 #
  34 #-:ALL EXCEPT wheel shutdown sync:console
  35 #
  36 # Disallow non-local logins to privileged accounts (group wheel).
  37 #
  38 #-:wheel:ALL EXCEPT LOCAL .win.tue.nl
  39 #
  40 # Some accounts are not allowed to login from anywhere:
  41 #
  42 #-:wsbscaro wsbsecr wsbspac wsbsym wscosor wstaiwde:ALL
  43 #
  44 # All other accounts are allowed to login from anywhere.
  45 #