...
В приведённой конфигурации разрешаются все команды, начинающиеся с show, за исключением случая, когда аргумент соответствует выражению users. Таким образом, сервер TACACS+ сопоставляет основную команду show, а затем анализирует её аргументы согласно заданным правилам.
...
| Блок кода |
|---|
cmd = "show users" {
deny .* #deny all possible arguments for command show users
} # |
В данном блоке конфигурации задаётся запрет на выполнение конкретной команды "show users", без анализа её составляющих элементов.
Такая особенность передачи команд может вызывать затруднения при построении гибкой политики авторизации, поскольку стандартная логика разделения команды и аргументов может работать не так, как ожидается.
...
| Блок кода |
|---|
script = {
if (cmd == "") permit
if (cmd =~ "^show .*") permit
if (cmd =~ "^logout") permit
}
default cmd = deny |
Данный блок конфигурации реализует модель «только чтение»: разрешается вход в сессию, выполнение всех команд, начинающихся с show, а также корректный выход из системы, при этом все остальные команды по умолчанию запрещаются правилом default cmd = deny.