Názory k článku TACACS (4)

jen poznamka - pro maxsess musi v tac daemonu zakompilovana podpora (configure --enable-maxsess)

Ano, je to pravda, tato feature pri kompilovani daemona je potrebna. Existuju este dve doplnkove metody, ako tuto cinnost obist inym sposobom. Prvou metodou je pouzitie preauthorizacneho skriptu, ktory skontroluje zaznamy vo /var/log/tac.plus_who, druhou metodou je pouzitie preauthorizacneho skriptu, ktory prostrednictvom povoleneho rsh na routeri a vykonanim vzdialeneho rsh who skontroluje, kolko krat sa zadany uzivatel uz nachadza authorizovany na routeri.

myslim, ze rsh je velike delo a bezp. dira.. bohate preci postaci povolit finger z ip adresy tac_daemonu, a pak tedy preautorizacnim scriptem zkontrolovat pocty uzivatelu - cele toto reseni s scriptem ma vsak jednu nevyhodu, a to v casove prodleve, ktera jiste bude vetsi nez s pouzitim maxsess feature. pokud se nekomu nelibi finger ani rsh, muze pouzivat expect :))

Je to samozrejme tak ako pisete, este ma napadlo, ci je mozna authorizaciou obmedzit platny rozsah prikazov pre rsh. tym by molo mozne potom riesit aj kreditne uctovanie, ktore by kontroloval uzivatelsky daemon alebo cron job a po vyprsani kreditov by vykonal rsh clear line #, a pri dalsom logovani by preauthorizacny skript na zaklade nuloveho kreditu vykonal odmietnutie authentikacie