При старте утилита auth_login пишет свое название:
S-Terra Gate administrative console.
Если утилита запускается первый раз после рестарта системы и разрешен автологин, то для первого, присутствующего в настройках конфигурационного файла администратора, проверяется доступ по пустому паролю к его контейнеру с секретным ключом. При успешной проверке запускается сервис безопасности:
Performing autostart as user <admin_name>
Configuring IPsec driver:
Starting IPsec daemon...done.
Autostart finished
Если автологин не разрешен, то запрашивается имя пользователя (пустое имя пользователя не допускается – в этом случае выдается повторный запрос):
login as:
Далее запрашивается пароль (пустой пароль допускается):
<name>'s password:
Производится проверка, не заблокирован ли данный пользователь (подробнее см. подраздел «Ограничение на количество попыток входа в систему»). На данном этапе может быть выдано сообщение:
% The maximum number of login attempts for user <name> has been reached. User has been blocked
Сообщение может появиться .в следующих случаях:
· Реальный пользователь (описанный в файле /opt/VPNagent/etc/auth_login.ini) ранее исчерпал допустимые попытки входа в систему и теперь заблокирован.
· Попытка входа в систему неизвестным (не описанным в файле /opt/VPNagent/etc/auth_login.ini) пользователем.
· Поврежден (имеет некорректный формат) файл, в котором хранится количество оставшихся попыток входа в систему данного пользователя.
· Системная ошибка (не удалось прочитать или записать количество оставшихся попыток).
Пользователь не может отличить эти ситуации. Однако в логе, доступном администратору, эти ситуации можно различить по коду ошибки в сообщении.
Производится проверка полученного имени и пароля. Если проверка не пройдена:
Выполняется остановка исполнения на промежуток времени от 1 до 3 секунд.
На консоль выдается сообщение об ошибке:
% Access denied
Если у пользователя еще остались допустимые попытки входа в систему, выдается сообщение об их количестве:
% You have <n> attempt(s) left
где <n> – число оставшихся попыток (от 1 до 9).
Если была использована последняя попытка входа в систему, выдается сообщение о блокировке пользователя:
% The maximum number of login attempts for user <name> has been reached. User has been blocked
Выполняется остановка исполнения на 1 секунду.
ОС автоматически перезапускает утилиту для повторения попытки аутентификации.
При использовании криптобиблиотеки компании «С-Терра СиЭсПи», при проверке полученного имени и пароля, возможно отсутствие инициализированного ДСЧ (например, при первом входе в систему). В этом случае:
На консоль выдается сообщение:
RNG initialization is required. Press Enter to continue...
Когда пользователь нажимает на Enter, запускается программа rnd_mgr. Происходит инициализация ДСЧ:
Если присутствует соответствующая аппаратная поддержка (например «Соболь») или если присутствует внешняя гамма, инициализация проходит неинтерактивно.
В противном случае вызывается интерактивная инициализация.
После успешной инициализации на консоль выдается сообщение от утилиты:
Successfully initialized RNG.
В случае успешной аутентификации пользователь получает доступ к определенному набору команд. Пользователю выдается приглашение командного интерпретатора, вид которого зависит от уровня доступа пользователя:
для администратора: hostname#
для пользователя: hostname>
где
hostname – имя хоста, на котором работает программа.
Ключевые слова команд можно сокращать до того количества символов, при котором их можно однозначно идентифицировать.
При выполнении команд (включая configure) работают специальные сочетания клавиш:
Прерывание выполнения запущенного процесса: CTRL+^ (CTRL+SHIFT+6). При работе через консоль Cisco IOS (стандартный режим работы программы) следует нажать указанное сочетание клавиш два раза, поскольку Cisco IOS перехватывает CTRL+^.
Если указанное выше сочетание клавиш не работает (например, внешний процесс завис), можно нажать на CTRL+| – в этом случае будет послан SIGKILL – неперехватываемый сигнал, по которому выполнение внешней программы безусловно прекращается.
Поддерживаются специальные команды редактирования командной строки, аналогичные Cisco-like консоли (см. документ «Cisco-like команды»).