前言
用于的二个突出的安全 协议控制访问到网络是Cisco TACACS+和RADIUS。RADIUS规格 在 RFC 2865 描述 ,废弃 RFC 2138 。 Cisco做支持两个协议与最佳组提供。它不是Cisco的 目的与RADIUS竞争或影响用户使用TACACS+ 。您应该选择最 将好达到需要的解决方案。本文讨论在TACACS+和RADIUS的之 间区别,因此您能使一个通告选择做出。
Cisco从 Cisco IOS软件版本11.1支持® RADIUS协议在1996年2 月。Cisco继续提高RADIUS客户端带有新功能和功能,支持 RADIUS 作为标准。
Cisco严重评估了 RADIUS作为安全协议在开发TACACS+之前。许多功能在 TACACS+协议包括适应增长的安全市场的需要。协议设计扩展 当网络增长和适应新的安全技术当市场成熟。TACACS+协议的 底层体系结构补全独立验证、授权和记帐(AAA)体系结构。
RADIUS背景
RADIUS是使用AAA协议的接入服务器。 它是获 取对网络和网络服务的远程访问未被授权的访问分布式安全的系统 。RADIUS 包括三个组件:
一 个协议带有使用用户数据协议的帧格式(UDP)/IP
一个服务器
一个客户端
而客户端在拨号接入服务器驻留并 且可以被分配在网络过程中,服务器在一台中央计算机典型地运行 在用户站点。Cisco合并RADIUS客户端到Cisco IOS软件版本 11.1以上和其他设备软件里。
客户端/服务器型号
网络接入服务器(NAS)运 行作为RADIUS的客户端。客户端负责通过用户信息对指定的 RADIUS服务器,然后操作在返回的回应。 RADIUS服务器负责 对收到用户连接请求,验证用户,然后返回所有配置信息必要为客 户端提供服务到用户。RADIUS服务器能作为代理客户端到其 他认证服务器。
网络安全
处理在客户端和RADIUS 服务器之间通过使用分享秘密验证,在网络从未被发送。 另 外,发送所有用户密码被加密在客户端和RADIUS服务器之间,排除 监听在一个不安全的网络的某人可能确定用户密码的可能性。
灵活的认 证机制
RADIUS服务器支 持各种各样的方法验证用户。当它带有用户时和原始密码产 生的用户名,可以支持PPP、密码验证协议(PAP) 或者质询握手验 证协议(CHAP)、UNIX登录和其他认证机制。
服务器代码可用性
商业和自由地有服务器 编码的一定数量的分配可用。Cisco服务器包括 Cisco Secure ACS Windows版、Cisco Secure ACS UNIX版和Cisco 访问注册。
比较TACACS+和RADIUS
以 下部分比较TACACS+和RADIUS几个功能。
UDP和 TCP
当TACACS+使用TCP时 ,RADIUS使用UDP。 TCP提供几个优点胜过UDP。而UDP 提供最佳效果发送,TCP提供面向连接的传输。 RADIUS要求 另外的可编程变量例如转播企图和超时补尝尽力而为传输,但缺乏 TCP传输提供内置支持的级别:
使用 TCP如何提供单独确认请求收到了,在(近似)网络往返时间(RTT之内 )不管装载并且减慢后端验证机制(TCP应答)也许是。
TCP提供一失败或者不的立即指示,服务器由重置 (RST负责操行)。您能确定当服务器失效并且回到服务时如果 使用长寿命的TCP连接。UDP不能说出发生故障的服务器,一 个慢速服务器和一个不存在的服务器的之间差别。
使用TCP Keepalive,服务器失败可以被发现带外带 有实际请求。与多个服务器的连接可以同时被维护,并且您 只需要寄发消息到那个被知道是正在运行的。
TCP是更加可升级的并且适应生长,并且拥塞,网络 。
信息包加 密
RADIUS在访问请求信 息包加密仅密码,从客户端到服务器。信息包的剩下的事末 加密。其他信息,例如用户名,核准的服务和认为,能由第 三方捕获。
TACACS+加密信息包但分 支的整个机体一个标准的TACACS+头。在头之内指示的字段机 体不论是否被加密。为调试目的,它是有用的有信息包的机 体末加密。然而,在正常运行期间,信息包的机体为安全通 信充分地被加密。
认证和授权
RADIUS结合认证和授权。RADIUS服务器发送的 访问接受信息包到客户端包含授权信息。这使它难分离认证 和授权。
TACACS+使用AAA体系结构, 分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。 例如,带有TACACS+, 使用Kerberos认证和TACACS+ 授权和记帐是可能的。在NAS在 Kerberos 服务器之后验证,请求授权信息从TACACS+服务器没有必 须重新鉴别。NAS通知TACACS+服务器在Kerberos服务器成功 验证,并且服务器然后提供授权信息。
在会话期间,如果另外特许检查是需要的,接入服务 器检查以TACACS+服务器确定是否同意用户权限使用一个特定命令。 这提供对在接入服务器可以被执行当分离从认证机制时的命 令的更加巨大的控制。
多协议支持
RADIUS不支持以下协 议:
AppleTalk远程访问(ARA)协议
NetBIOS帧协议控制协议
Novell异步服务接口 (NASI)
X.25 PAD连接
TACACS+提供多协议支持。
路由器管理
RADIUS不允许用户 控制哪些命令在路由器可以被执行并且哪些不能。所以, RADIUS不是如有用为路由器管理或如灵活为终端服务。
TACACS+提供二个方法控制router命 令的授权根据一个单个用户或单个组的基本类型。第一个方 法将指定权限级别到命令和安排路由器用TACACS+服务器验证用户是 否被认证在指定的权限级别。第二个方法是指定在TACACS+服 务器,在一个单个用户或单个组的基本类型,明确命令允许。
共用
由于RADIUS请求注解 (RFC)的多种解释,遵照RADIUS RFC不保证共用。即使几个 供应商实现RADIUS客户端,这不意味着他们是相互可操作的。 Cisco实现多数RADIUS属性和一致添加更多。如果用户 在他们的服务器使用仅标准RADIUS属性,他们能可能相互运用在几 个供应商之间,提供这些供应商实现同样属性。然而,许多 供应商实现是专有属性的扩展名。如果用户使用这些特定供 应商的扩展属性之一,共用不是可能的。
数据流
由于TACACS+的早先被 援引的区别和RADIUS 、数据流量之间生成在之间客户端和服务器 将有所不同。以下示例说明客户端和服务器的之间数据流为 TACACS+和RADIUS当为路由器管理使用带有认证、EXEC授权、RADIUS 不能执行)的命令授权(时,exec记帐和RADIUS不能执行)的命令记帐。
TACACS+数据流示例
以下示例假设登录认证,EXEC授权,命令授权, start-stop exec记帐,并且命令记帐实现带有TACACS+当时用户 Telnet到路由器,执行一个命令,并且退出路由器:
RADIUS数据流示例
以下示例假设登录认 证,EXEC授权,并且start-stop exec记帐实现与RADIUS当时用户 Telnet 到路由器,执行一个命令,并且退出路由器(其他管理服务 不是可用的):
设备支持
下面的表列表TACACS+和RADIUS AAA技术支持由设备 类型。此表提供关于技术支持添加的软件版本的信息。
表注释
只有无线客户端的终 止,不是管理数据流在除Cisco IOS软件版本12.2(4)ja以上的之外 版本。在Cisco IOS软件版本12.2.(4)ja以上,认证为无线客 户端和管理数据流的终止是可能的。
检查功能导航(现在废弃由软件顾问) 平台支持在 Cisco IOS软件之内
发出命令认为没 实现直到Cisco IOS软件版本11.1.6.3
没有命令授权
没有命 令记帐
URL阻塞仅,不管理数据流
授权为非VPN数据流通过 PIX
注意: ACL RADIUS属性11授权的版本5.2 -访问控制 表(ACL) RADIUS供应商专用属性(VSA)的访问控制列表技术支持或 TACACS+授权为终止在PIX版本6.1的VPN数据流-技术支持为终止在 PIX授权的版本6.2.2 -可下载的ACLs的技术支持带有RADIUS授权为 VPN数据流终止在PIX版本6.2 -技术支持的VPN数据流为PIX管理数据 流通过TACACS+
占非VPN数据流通过 仅PIX,不是管理数据流
注意: 版本5.2 -占的技术支持VPN客户端软件TCP信 息包通过PIX
仅企业软件
需要8M闪存为镜象
仅VPN终止
