前言
它不是Cisco的 目的与RADIUS竞争或影响用户使用TACACS+ 。您应该选择最 将好达到需要的解决方案。本文讨论在TACACS+和RADIUS的之 间区别,因此您能使一个通告选择做出。
Cisco从 Cisco IOS软件版本11.1支持® RADIUS协议在1996年2 月。Cisco继续提高RADIUS客户端带有新功能和功能,支持 RADIUS 作为标准。
Cisco严重评估了 RADIUS作为安全协议在开发TACACS+之前。许多功能在 TACACS+协议包括适应增长的安全市场的需要。协议设计扩展 当网络增长和适应新的安全技术当市场成熟。TACACS+协议的底层体系结构补全独立验证、授权和记帐(AAA)体系结构。
RADIUS背景
RADIUS是使用AAA协议的接入服务器。 它是获 取对网络和网络服务的远程访问未被授权的访问分布式安全的系统 。RADIUS 包括三个组件:
客户端/服务器型号
网络接入服务器(NAS)运 行作为RADIUS的客户端。客户端负责通过用户信息对指定的 RADIUS服务器,然后操作在返回的回应。 RADIUS服务器负责 对收到用户连接请求,验证用户,然后返回所有配置信息必要为客 户端提供服务到用户。RADIUS服务器能作为代理客户端到其他认证服务器。
网络安全
处理在客户端和RADIUS 服务器之间通过使用分享秘密验证,在网络从未被发送。 另 外,发送所有用户密码被加密在客户端和RADIUS服务器之间,排除 监听在一个不安全的网络的某人可能确定用户密码的可能性。
灵活的认 证机制
RADIUS服务器支 持各种各样的方法验证用户。当它带有用户时和原始密码产 生的用户名,可以支持 PPP、密码验证协议(PAP) 或者质询握手验 证协议(CHAP)、UNIX登录和其他认证机制。
服务器代码可用性
商业和自由地有服务器 编码的一定数量的分配可用。Cisco服务器包括 Cisco Secure ACS Windows版、Cisco Secure ACS UNIX版和Cisco 访问注册。
比较TACACS+和RADIUS
以 下部分比较TACACS+和RADIUS几个功能。
UDP和TCP
当TACACS+使用TCP时 ,RADIUS使用UDP。 TCP提供几个优点胜过UDP。而UDP 提供最佳效果发送,TCP提供面向连接的传输。 RADIUS要求 另外的可编程变量例如转播企图和超时补尝尽力而为传输,但缺乏 TCP传输提供内置支持的级别:
RADIUS在访问请求信 息包加密仅密码,从客户端到服务器。信息包的剩下的事末 加密。其他信息,例如用户名,核准的服务和认为,能由第 三方捕获。
TACACS+加密信息包但分 支的整个机体一个标准的TACACS+头。在头之内指示的字段机 体不论是否被加密。为调试目的,它是有用的有信息包的机 体末加密。然而,在正常运行期间,信息包的机体为安全通 信充分地被加密。
认证和授权
RADIUS结合认证和授权。RADIUS服务器发送的 访问接受信息包到客户端包含授权信息。这使它难分离认证 和授权。
TACACS+使用AAA体系结构, 分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。例如,带有TACACS+, 使用Kerberos认证和TACACS+ 授权和记帐是可能的。在NAS在 Kerberos 服务器之后验证,请求授权信息从TACACS+服务器没有必 须重新鉴别。NAS通知TACACS+服务器在Kerberos服务器成功验证,并且服务器然后提供授权信息。
在会话期间,如果另外特许检查是需要的,接入服务 器检查以TACACS+服务器确定是否同意用户权限使用一个特定命令。 这提供对在接入服务器可以被执行当分离从认证机制时的命 令的更加巨大的控制。
多协议支持
RADIUS不支持以下协 议:
路由器管理
RADIUS不允许用户 控制哪些命令在路由器可以被执行并且哪些不能。所以, RADIUS不是如有用为路由器管理或如灵活为终端服务。
TACACS+提供二个方法控制router命 令的授权根据一个单个用户或单个组的基本类型。第一个方法将指定权限级别到命令和安排路由器用TACACS+服务器验证用户是 否被认证在指定的权限级别。第二个方法是指定在TACACS+服务器,在一个单个用户或单个组的基本类型,明确命令允许。
共用
由于RADIUS请求注解 (RFC)的多种解释,遵照RADIUS RFC不保证共用。即使几个供应商实现RADIUS客户端,这不意味着他们是相互可操作的。 Cisco实现多数RADIUS属性和一致添加更多。如果用户在他们的服务器使用仅标准RADIUS属性,他们能可能相互运用在几 个供应商之间,提供这些供应商实现同样属性。然而,许多供应商实现是专有属性的扩展名。如果用户使用这些特定供 应商的扩展属性之一,共用不是可能的。
数据流
由于TACACS+的早先被 援引的区别和RADIUS 、数据流量之间生成在之间客户端和服务器将有所不同。以下示例说明客户端和服务器的之间数据流为 TACACS+和RADIUS当为路由器管理使用带有认证、EXEC授权、RADIUS 不能执行)的命令授权(时,exec记帐和RADIUS不能执行)的命令记帐。
TACACS+数据流示例
以下示例假设登录认证,EXEC授权,命令授权, start-stop exec记帐,并且命令记帐实现带有TACACS+当时用户 Telnet到路由器,执行一个命令,并且退出路由器:
RADIUS数据流示例
以下示例假设登录认 证,EXEC授权,并且start-stop exec记帐实现与RADIUS当时用户 Telnet 到路由器,执行一个命令,并且退出路由器(其他管理服务 不是可用的):
设备支持
下面的表列表TACACS+和RADIUS AAA技术支持由设备 类型。此表提供关于技术支持添加的软件版本的信息。
表注释
它不是Cisco的 目的与RADIUS竞争或影响用户使用TACACS+ 。您应该选择最 将好达到需要的解决方案。本文讨论在TACACS+和RADIUS的之 间区别,因此您能使一个通告选择做出。
Cisco从 Cisco IOS软件版本11.1支持® RADIUS协议在1996年2 月。Cisco继续提高RADIUS客户端带有新功能和功能,支持 RADIUS 作为标准。
Cisco严重评估了 RADIUS作为安全协议在开发TACACS+之前。许多功能在 TACACS+协议包括适应增长的安全市场的需要。协议设计扩展 当网络增长和适应新的安全技术当市场成熟。TACACS+协议的底层体系结构补全独立验证、授权和记帐(AAA)体系结构。
RADIUS背景
RADIUS是使用AAA协议的接入服务器。 它是获 取对网络和网络服务的远程访问未被授权的访问分布式安全的系统 。RADIUS 包括三个组件:
- 一 个协议带有使用用户数据协议的帧格式(UDP)/IP
- 一个服务器
- 一个客户 端
客户端/服务器型号
网络接入服务器(NAS)运 行作为RADIUS的客户端。客户端负责通过用户信息对指定的 RADIUS服务器,然后操作在返回的回应。 RADIUS服务器负责 对收到用户连接请求,验证用户,然后返回所有配置信息必要为客 户端提供服务到用户。RADIUS服务器能作为代理客户端到其他认证服务器。
网络安全
处理在客户端和RADIUS 服务器之间通过使用分享秘密验证,在网络从未被发送。 另 外,发送所有用户密码被加密在客户端和RADIUS服务器之间,排除 监听在一个不安全的网络的某人可能确定用户密码的可能性。
灵活的认 证机制
RADIUS服务器支 持各种各样的方法验证用户。当它带有用户时和原始密码产 生的用户名,可以支持 PPP、密码验证协议(PAP) 或者质询握手验 证协议(CHAP)、UNIX登录和其他认证机制。
服务器代码可用性
商业和自由地有服务器 编码的一定数量的分配可用。Cisco服务器包括 Cisco Secure ACS Windows版、Cisco Secure ACS UNIX版和Cisco 访问注册。
比较TACACS+和RADIUS
以 下部分比较TACACS+和RADIUS几个功能。
UDP和TCP
当TACACS+使用TCP时 ,RADIUS使用UDP。 TCP提供几个优点胜过UDP。而UDP 提供最佳效果发送,TCP提供面向连接的传输。 RADIUS要求 另外的可编程变量例如转播企图和超时补尝尽力而为传输,但缺乏 TCP传输提供内置支持的级别:
- 使用 TCP如何提供单独确认请求收到了,在(近似)网络往返时间(RTT之内 )不管装载并且减慢后端验证机制(TCP应答)也许是。
- TCP提供一失败或者不的立即指示,服务器由重置 (RST负责操行)。您能确定当服务器失效并且回到服务时如果 使用长寿命的TCP连接。UDP不能说出发生故障的服务器,一 个慢速服务器和一个不存在的服务器的之间差别。
- 使用TCP Keepalive,服务器失败可以被发现带外带 有实际请求。与多个服务器的连接可以同时被维护,并且您 只需要寄发消息到那个被知道是正在运行的。
- TCP是更加可升级的并且适应生长,并且拥塞,网络 。
RADIUS在访问请求信 息包加密仅密码,从客户端到服务器。信息包的剩下的事末 加密。其他信息,例如用户名,核准的服务和认为,能由第 三方捕获。
TACACS+加密信息包但分 支的整个机体一个标准的TACACS+头。在头之内指示的字段机 体不论是否被加密。为调试目的,它是有用的有信息包的机 体末加密。然而,在正常运行期间,信息包的机体为安全通 信充分地被加密。
认证和授权
RADIUS结合认证和授权。RADIUS服务器发送的 访问接受信息包到客户端包含授权信息。这使它难分离认证 和授权。
TACACS+使用AAA体系结构, 分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。例如,带有TACACS+, 使用Kerberos认证和TACACS+ 授权和记帐是可能的。在NAS在 Kerberos 服务器之后验证,请求授权信息从TACACS+服务器没有必 须重新鉴别。NAS通知TACACS+服务器在Kerberos服务器成功验证,并且服务器然后提供授权信息。
在会话期间,如果另外特许检查是需要的,接入服务 器检查以TACACS+服务器确定是否同意用户权限使用一个特定命令。 这提供对在接入服务器可以被执行当分离从认证机制时的命 令的更加巨大的控制。
多协议支持
RADIUS不支持以下协 议:
- AppleTalk远程访问(ARA)协议
- NetBIOS帧协议控制协议
- Novell异步服务接口 (NASI)
- X.25 PAD连接
路由器管理
RADIUS不允许用户 控制哪些命令在路由器可以被执行并且哪些不能。所以, RADIUS不是如有用为路由器管理或如灵活为终端服务。
TACACS+提供二个方法控制router命 令的授权根据一个单个用户或单个组的基本类型。第一个方法将指定权限级别到命令和安排路由器用TACACS+服务器验证用户是 否被认证在指定的权限级别。第二个方法是指定在TACACS+服务器,在一个单个用户或单个组的基本类型,明确命令允许。
共用
由于RADIUS请求注解 (RFC)的多种解释,遵照RADIUS RFC不保证共用。即使几个供应商实现RADIUS客户端,这不意味着他们是相互可操作的。 Cisco实现多数RADIUS属性和一致添加更多。如果用户在他们的服务器使用仅标准RADIUS属性,他们能可能相互运用在几 个供应商之间,提供这些供应商实现同样属性。然而,许多供应商实现是专有属性的扩展名。如果用户使用这些特定供 应商的扩展属性之一,共用不是可能的。
数据流
由于TACACS+的早先被 援引的区别和RADIUS 、数据流量之间生成在之间客户端和服务器将有所不同。以下示例说明客户端和服务器的之间数据流为 TACACS+和RADIUS当为路由器管理使用带有认证、EXEC授权、RADIUS 不能执行)的命令授权(时,exec记帐和RADIUS不能执行)的命令记帐。
TACACS+数据流示例
以下示例假设登录认证,EXEC授权,命令授权, start-stop exec记帐,并且命令记帐实现带有TACACS+当时用户 Telnet到路由器,执行一个命令,并且退出路由器:
RADIUS数据流示例
以下示例假设登录认 证,EXEC授权,并且start-stop exec记帐实现与RADIUS当时用户 Telnet 到路由器,执行一个命令,并且退出路由器(其他管理服务 不是可用的):
设备支持
下面的表列表TACACS+和RADIUS AAA技术支持由设备 类型。此表提供关于技术支持添加的软件版本的信息。
|
Cisco设备
|
TACACS+认证
|
TACACS+ 授权
|
TACACS+记帐
|
RADIUS认证
|
RADIUS授 权
|
RADIUS记帐
|
|---|---|---|---|---|---|---|
| Cisco Aironet 1 | 12.2(4)JA | 12.2(4)JA | 12.2(4)JA | 所有访问 点 | 所有访问点 | 所有访问点 |
| Cisco IOS软件2 | 10.33 | 10.33 | 10.333 | 11.1.1 | 11.1.14 | 11.1.15 |
| Cisco缓存引擎 | -- | -- | -- | 1.5 | 1.56 | -- |
| Cisco Catalyst交 换机 | 2.2 | 5.4.1 | 5.4.1 | 5.1 | 5.4.14 | 5.4.15 |
| Cisco CSS 11000内容服务交换机 | 5.20 | 5.20 | 5.20 | 5.0 | 5.04 | -- |
| Cisco PIX防火墙 | 4.0 | 4.07 | 4.28,5 | 4.0 | 5.27 | 4.28,5 |
| Cisco Catalyst 1900/2820交换机 | 8.x企业9 | -- | -- | -- | -- | -- |
| Cisco Catalyst 2900xl/3500XL交换机 | 11.2.(8)SA610 | 11.2.(8)SA610 | 11.2.(8)SA610 | 12.0(5)WC511 | 12.0(5)WC511, 4 | 12.0(5)WC511, 5 |
| Cisco ××× 3000集中器 6 | 3.0 | 3.0 | -- | 2.012 | 2.0 | 2.012 |
| Cisco ××× 5000集中器 | -- | -- | -- | 5.2X12 | 5.2X12 | 5.2X12 |
- 只有无线客户端的终 止,不是管理数据流在除Cisco IOS软件版本12.2(4)ja以上的之外 版本。在Cisco IOS软件版本12.2.(4)ja以上,认证为无线客 户端和管理数据流的终止是可能的。
- 检查功能导航(现在废弃由软件顾问) 平台支持在 Cisco IOS软件之内
- 发出命令认为没 实现直到Cisco IOS软件版本11.1.6.3
- 没有命令授权
- 没有命 令记帐
- URL阻塞仅,不管理数据流
- 授权为非×××数据流通过 PIX
注意: ACL RADIUS属性11授权的版本5.2 -访问控制 表(ACL) RADIUS供应商专用属性(VSA)的访问控制列表技术支持或 TACACS+授权为终止在PIX版本6.1的×××数据流-技术支持为终止在 PIX授权的版本6.2.2 -可下载的ACLs的技术支持带有RADIUS授权为 ×××数据流终止在PIX版本6.2 -技术支持的×××数据流为PIX管理数据 流通过TACACS+ - 占非×××数据流通过 仅PIX,不是管理数据流
注意: 版本5.2 -占的技术支持×××客户端软件TCP信 息包通过PIX - 仅企业软件
- 需要8M闪存为镜象
- 仅×××终止
职场 TACACS RADIUS
Security
1
微博 QQ 微信
收藏
上一篇:DNS服务的下层协议用的是TCP... 下一篇:Dynamips报错及及非正常现...
