manページ  — LIBTACPLUS

libtacplus – TACACS+ クライアントライブラリ

書式 解説 初期化 TACACS+ 認証要求の生成 認証要求の送信と応答の受信 サーバの応答からの情報抽出 認証連続パケットの送信 エラーメッセージの取得 クリーンアップ 戻り値 関連ファイル 関連項目 作者

#include <taclib.h>

int
tac_add_server(struct tac_handle *h, const char *host, int port, const char *secret, int timeout, int flags);

void
tac_close(struct tac_handle *h);

int
tac_config(struct tac_handle *h, const char *path);

int
tac_create_authen(struct tac_handle *h, int action, int type, int service);

void *
tac_get_data(struct tac_handle *h, size_t *len);

char *
tac_get_msg(struct tac_handle *h);

struct tac_handle *
tac_open(void);

int
tac_send_authen(struct tac_handle *h);

int
tac_set_data(struct tac_handle *h, const void *data, size_t data_len);

int
tac_set_msg(struct tac_handle *h, const char *msg);

int
tac_set_port(struct tac_handle *h, const char *port);

int
tac_set_priv(struct tac_handle *h, int priv);

int
tac_set_rem_addr(struct tac_handle *h, const char *addr);

int
tac_set_user(struct tac_handle *h, const char *user);

const char *
tac_strerror(struct tac_handle *h);

libtacplus ライブラリは、TACACS+ ネットワークアクセス制御プロトコルの クライアント側を実現しています。 TACACS+ により、クライアントは認証や、認可、および課金処理を、 リモートサーバに対するネットワーク上での要求を出すことで実行できます。 このライブラリは、現在プロトコルの認証部分だけをサポートしています。

新規に認証要求を作り始める場合、 tac_create_authen() を呼び出します。 引数 action, type, service には、TACACS+ プロトコル仕様で 定義される適切な値をセットしなければなりません。ヘッダファイル < taclib.h> には、これらの値のシンボリック定数が定義されています。

tac_create_authen() で要求を生成した後、種々の任意指定パラメータを、 tac_set_data(), tac_set_port(), tac_set_priv(), tac_set_rem_addr(), tac_set_user() を呼び出して付加します。ライブラリは、これらの関数に提供された自分自身の 文字列の複製を作るので、呼び出し側で文字列を保存しておく必要はありません。 デフォルトで各パラメータは空ですが、権限レベルだけは ‘USER’ 権限にデフォルト指定されています。

TACACS+ 要求が生成されると、 tac_send_authen() によって送信されます。 この関数は、未接続のときサーバ接続を行って、要求を送信し、返信を待ちます。 異常終了のとき、 tac_send_authen() は -1 を返します。正常の場合は、TACACS+ 終了コードとフラグを、 整数値にパックして返します。終了状態は TAC_AUTHEN_STATUS() マクロを使用して抽出することができます。取り得る終了コードは、 < taclib.h> で定義されており、内容は次のとおりです。

	TAC_AUTHEN_STATUS_PASS
	TAC_AUTHEN_STATUS_FAIL
	TAC_AUTHEN_STATUS_GETDATA
	TAC_AUTHEN_STATUS_GETUSER
	TAC_AUTHEN_STATUS_GETPASS
	TAC_AUTHEN_STATUS_RESTART
	TAC_AUTHEN_STATUS_ERROR
	TAC_AUTHEN_STATUS_FOLLOW

唯一のフラグは no-echo フラグで、 TAC_AUTHEN_NOECHO() マクロで検出できます。

サーバからの認証応答パケットには、サーバメッセージや文字列データ、 もしくは、その両者が含まれています。 tac_send_authen() 呼び出しが成功すると、この情報は、 tac_get_msg() と tac_get_data() 呼び出しの応答から取り出すことができます。 これらの関数は、パケットからの情報の動的に割り当てられたコピーを 返します。それらが必要なくなったときには、呼び出し側が解放 しなければなりません。これらの関数から戻ってくるデータは、必ず ヌル で終了していることが保証されています。

tac_get_data() の場合、引数 len は、ライブラリが終端の ナル 文字を含まない実サイズの受信データの保管場所を指しています。 この引数には、呼び出し側が長さを問題にしない場合は、 ヌル を指定してもかまいません。

tac_send_authen() が、終了コード TAC_AUTHEN_STATUS_GETDATA, TAC_AUTHEN_STATUS_GETUSER, TAC_AUTHEN_STATUS_GETPASS のうちのどれかを含む値を返す場合、 クライアントは、TACACS+ 連続パケットを使って、 サーバに対する追加情報を提供する必要があります。そのためには、 アプリケーションは最初に、 tac_set_msg() と tac_set_data() を使って、パケットユーザメッセージやデータフィールドを 設定しなければなりません。クライアントは、 tac_send_authen() を使って連続パケットを送信します。

[注意] tac_create_authen() は、連続パケットを生成するときには 呼び出さずに 、初期の認証要求のときにだけ使用する必要があります。

連続パケットを受信すると、サーバは TAC_AUTHEN_STATUS_GETDATA, TAC_AUTHEN_STATUS_GETUSER, TAC_AUTHEN_STATUS_GETPASS を返して、更に情報を要求します。 アプリケーションは、サーバから別の状態コードが受信されるまで、 引き続き連続パケットを送信しなければなりません。

引数 struct tac_handle * を受け取る関数は、異常終了するとエラーメッセージを記録します。 エラーメッセージは、 tac_strerror() を呼び出すことにより取り出すことができます。 メッセージテキストは、指定された struct tac_handle * の新たなエラーごとに上書きされます。 従って、メッセージを保管しておかなければならないなら、 同じハンドルを使う後続のライブラリ呼び出しで複製を作らなければなりません。

TACACS+ ライブラリで使用したリソースを解放するには、 tac_close() 呼び出して下さい。

以下の関数は、正常終了時に、負でない数値を返します。 エラーを検出すると、-1 を返し、エラーメッセージを記録します。 メッセージは tac_strerror() によって取り出せます。

	tac_add_server()
	tac_config()
	tac_create_authen()
	tac_send_authen()
	tac_set_data()
	tac_set_msg()
	tac_set_port()
	tac_set_priv()
	tac_set_rem_addr()
	tac_set_user()

以下の関数は、正常終了時にヌルでないポインタを返します。 十分な仮想メモリが割り当てられない場合、 ヌル を返し、エラーメッセージを記録します。メッセージは tac_strerror() で取り出せます。

	tac_get_data()
	tac_get_msg()

以下の関数は、正常終了時にヌルでないポインタを返します。 十分な仮想メモリが割り当てられない場合、 ヌル を返し、エラーメッセージを記録しません。

	tac_open()

/etc/tacplus.conf

このソフトウェアは、 John Polstra が作成し、 Juniper Networks, Inc によって FreeBSD プロジェクトに寄贈されました。