TACACS 终端访问控制器访问控制系统

Terminal Access Controller Access-Control System (TACACS)

TACACS（终端 访问控制器访问控制系统）对于 Unix网络来说是一个比较老的认证协议，它允许 远程访问服务器传送用户登陆密码给认证服务器，认证服务器决定该用户是否可以登陆系统。TACACS是一个加密协议，因此它的安全性不及之后的 TACACS+和远程 身份验证拨入用户服务协议。TACACS之后推出的版本是XTACACS。这两个协议均在RFC（请求注解）(是一系列以编号排定的文件。文件收集了有关互联网相关信息，以及 UNIX和互联网社区的软件文件。可以理解是一个标准化的文档。)中进行了说明。TACACS+其实是一个全新的协议。TACACS+和 RADIUS在现有网络里已经取代了早期的协议。TACACS+应用传输控制协议（ TCP），而RADIUS使用 用户数据报协议（ UDP）。一些管理员推荐使用TACACS+协议，因为TCP更可靠些。RADIUS从用户角度结合了认证和授权，而 TACACS+分离了这两个操作。TACACS协议和XTACACS协议至今还应用在许多老系统中。

RADIUS是使用AAA协议的 接入服务器。 它是获 取对网络和网络服务的 远程访问未被授权的访问分布式安全的系统 。RADIUS 包括三个组件：

一 个协议带有使用用户数据协议的帧格式( UDP)/IP

一个服务器

一个客户 端

而客户端在拨号接入服务器驻留并 且可以被分配在网络过程中，服务器在一台中央计算机典型地运行 在用户站点。 Cisco合并RADIUS客户端到Cisco IOS软件版本 11.1以上和其他设备软件里。

客户端/服务器型号

网络接入服务器( NAS)运 行作为RADIUS的客户端。客户端负责通过用户信息对指定的  RADIUS服务器，然后操作在返回的回应。 RADIUS服务器负责 对收到用户连接请求，验证用户，然后返回所有配置信息必要为客 户端提供服务到用户。RADIUS服务器能作为代理客户端到其 他认证服务器

TACACS+（Terminal Access Controller Access Control System，终端访问控制器控制系统协议）是在TACACS协议的基础上进行了功能增强的安全协议。该协议与RADIUS协议的功能类似，采用客户端/服务器模式实现NAS与TACACS+服务器之间的通信。

TACACS+协议主要用于PPP和VPDN（Virtual Private Dial-up Network，虚拟私有拨号网络）接入用户及终端用户的AAA。

AAA是Authentication、Authorization、Accounting（认证、授权、计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。

认证：确认访问网络的远程用户的身份，判断访问者是否为合法的网络用户。

授权：对不同用户赋予不同的权限，限制用户可以使用的服务。例如用户成功登录服务器后，管理员可以授权用户对服务器中的文件进行访问和打印操作。

计费：记录用户使用网络服务中的所有操作，包括使用的服务类型、起始时间、数据流量等，它不仅是一种计费手段，也对网络安全起到了监视作用。

AAA一般采用客户机/服务器结构，客户端运行于NAS（Network Access Server，网络接入服务器）上，服务器上则集中管理用户信息。NAS对于用户来讲是服务器端，对于服务器来说是客户端。当用户想要通过某网络与NAS建立连接，从而获得访问其它网络的权利或取得某些网络资源的权利时，NAS起到了验证用户的作用。NAS负责把用户的认证、授权、计费信息透传给服务器（RADIUS服务器或HWTACACS服务器），RADIUS协议或HWTACACS协议规定了NAS与服务器之间如何传递用户信息。TACACS+的典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权、计费。设备作为TACACS+的客户端，将用户名和密码发给TACACS+服务器进行验证。用户验证通过并得到授权之后可以登录到设备上进行操作。

TACACS+协议	RADIUS协议
使用TCP，网络传输更可靠	使用UDP，网络传输效率更高
除了TACACS+报文头，对报文主体全部进行加密	只对验证报文中的密码字段进行加密
协议报文较为复杂，认证和授权分离，使得认证、授权服务可以分离在不同的安全服务器上实现。例如，可以用一个TACACS+服务器进行认证，另外一个TACACS+服务器进行授权	协议报文比较简单，认证和授权结合，难以分离
支持对设备的配置命令进行授权使用。用户可使用的命令行受到用户级别和AAA授权的双重限制，某一级别的用户输入的每一条命令都需要通过TACACS+服务器授权，如果授权通过，命令就可以被执行	不支持对设备的配置命令进行授权使用 用户登录设备后可以使用的命令行由用户级别决定，用户只能使用缺省级别等于/低于用户级别的命令行

 

转载于:https://www.cnblogs.com/lhq8998/p/7349769.html