1) the user su is targeting
2) l'utente che sta invocando «su» (o qualsiasi gruppo del quale questi faccia parte)
Il formato del file è il seguente, con le righe che iniziano con «#» trattate come commenti e ignorate;
id-finale:id-iniziale:AZIONE
Dove «id-finale» è la parola ALL (tutti), un elenco di nomi utenti separati da «,» o le parole ALL EXCEPT seguite da una lista di nomi utente separati da «,».
from-id is formatted the same as to-id except the extra word GROUP is recognized. ALL EXCEPT GROUP is perfectly valid too. Following GROUP appears one or more group names, delimited by ",". It is not sufficient to have primary group id of the relevant group, an entry in /etc/group(5) is necessary.
AZIONE può essere una delle seguenti opzioni attualmente supportate.
DENY
NOPASS
OWNPASS
Notare che ci sono tre campi diversi separati da «:». Nessuno spazio deve affiancare i due punti. Notare anche che il file viene esaminato in maniera sequenziale una riga alla volta, e la prima regola applicabile viene utilizzata senza procede con la lettura delle successive. Questo permette all'amministratore di sistema di impostare dei controlli allargati o puntuali, come preferisce.
# Esempio di file /etc/suauth
#
# Due utenti privilegiati possono usare
# su verso root con la propria password.
#
root:chris,birddog:OWNPASS
#
# Tutti gli altri non possono farlo a meno di non appartenere
# al groppo wheel. Questo è come funziona in BSD.
#
root:ALL EXCEPT GROUP wheel:DENY
#
# Nel caso che terry e birddog siano account
# della stessa persona di permettere il passaggio
# tra loro senza richiedere la password.
#
terry:birddog:NOPASS
birddog:terry:NOPASS
#
/etc/suauth
Ce ne possono essere molti non visti. Il parser dei file è particolarmente rigido sugli errori di sintassi, attendendo l'assenza di spazi estranei (ad eccezione di inizio e fine riga) e specifici separatori per delimitare oggetti diversi.
Qualsiasi errore durante le lettura del file viene riportato tramite syslogd(8) con livello ERR e «facility» AUTH.
su(1).