誰かがログインすると、 login.access ファイルがスキャンされ、最初にマッチする (ユーザ,ホスト) の組、 あるいはネットワーク経由のログインでない場合は最初にマッチする (ユーザ, tty) の組を探す。 このテーブルの許可フィールドによって、 ログインが許可されるか拒絶されるかが決まる。
ログインアクセス制御表の各行は 3 つのフィールドからなり、 文字 ":" で分割される。
permission:users:origins
最初のフィールドは "+" (アクセスを許可する) か "-" (アクセスを拒否する) でなければならない。 二番目のフィールドは、一つ以上のログイン名やグループ名、 もしくは ALL (必ずマッチする) でなければならない。 三番目のフィールドは、 tty 名 (ネットワーク経由でないログインの場合)、 ホスト名、 ドメイン名 ("."で始まる)、 ホストアドレス、 インターネットのネットワーク番号 ("."で終わる)、 のひとつ以上の構成要素からなるリストであるか、 ALL (必ずマッチする) または LOCAL ("."を全く含まない文字列全てにマッチする) のいずれかでなくてはならない。 NIS を運用している場合は、ホストやユーザのパターンで @netgroupname が使える。
EXCEPT オペレータを用いると、 非常に簡略にルールを指定できる。
group ファイルが検索されるのは、 ログインするユーザ名が名前にマッチしなかった場合に限られる。 マッチするグループは、 group ファイル中でユーザ名が明示的にリストされているものに限られる。 このプログラムはユーザの主グループの ID 番号までは見ない。
[man1]
[man2]
[man3]
[man4]
[man5]
[man6]
[man7]
[man8]
[a]
[b]
[c]
[d]
[e]
[f]
[g]
[h]
[i]
[j]
[k]
[l]
[m]
[n]
[o]
[p]
[q]
[r]
[s]
[t]
[u]
[v]
[w]
[x]
[y]
[z]