admin 管理员组文章数量: 887019
2024年3月21日发(作者:退出任务管理器快捷键)
TACACS+和RADIUS比较
TACACS+
TACACS+是一种客户机/效劳器协议,其中TACACS+客户机一样是一个NAS,而
TACACS+效劳器那么是一个运行于某些UNIX或NT装置上的daemon程序。TACACS+设
计的一个大体要素是辨别、授权和记帐(AAA)。它许诺任意长度和内容辨别互换,使
TACACS+客户机可采取任何辨别方案。其中包括PPP-PAP-PPP CHAP、令牌卡及Kerberos。
辨别不是强制性的,可由站点自行配置。有些站点不需要,而有些站点只在某些业务上需要
它。
授权确实是一种决定用户能够做什么的方法。一样辨别先于授权进行,但重复进行时便再也
不需要。授权申请可标明该用户未经辨别(咱们不知他们是何人)。这种情形下授权单位决
定是不是许诺未经辨别的用户利用所申请的业务。在TACACS+中,授权不仅回答是不是许
诺,而且还为某些用户定制这种业务。需进行授权的情形包括:当用户第一次登录并想成立
自己的爱惜空间;或用户起用PPP,并希望通过一个特定的IP地址利用PPP上的IP。
TACACS+效劳器daemon可通过以下方式对这些申请做出响应:提供业务,但在登录地段
设按时限,或要求PPP连接上有IP访问表。
记帐是辨别和授权以后的第三步。记帐是记录一个用户正在做了或已经做了什么的行
为。TACACS+中的记帐功能有助于达到以下两个目的:可为所用的业务记帐,比如在结算
时用;也可用作平安业务的审查工具。为此,TACACS+ 支持三种类型的记帐记录。起始记
录指明某业务即将开始;终止记录指明某业务刚终止;而更新记录那么是指明某业务仍在进
行当中的中间通知。TACACS+记帐记录包括授权记录所用的全数信息,也包括记帐专用信
息如起始、终止时刻(假设需要时)及资源利用情形信息。
TACACS+ 客户机和TACACS+效劳器之间的业务通过利用共享秘密进行辨别,该秘密
从不在网络上发送。一样它被人工配置在这两个实体中。TACACS+能够被配置用来对
TACACS+客户机和TACACS+效劳器daemon之间的所有业务进行加密。
RADIUS
RADIUS是Livingston Enterprises 公司开发的接入效劳器辨别和记帐协议。1996年6
月,RADIUS5协议规程草案提交到IETF。RADIUS规格(RFC 2058)和RADIUS记帐标准(RFC
2059)是目前待议的标准协议。
NAS与RADIUS效劳器之间的通信基于UDP。RADIUS协议一样被以为是一种无连接
业务。与效劳器可用性、转发性及停机有关的问题由RADIUS的装置而不是由传输协议处
置。
RADIUS是一种客户机/效劳器协议,其中RADIUS客户机一样为NAS,而RADIUS
效劳器那么是运行于某些UMX或NT机械上的daemon程序。客户机负责向指定的RADLUS
效劳器发送用户信息,然后依照返回的回答作出反映。RADDIUS效劳器负责接收用户连接
申请,辨别用户,并返回客户机为用户提供业务所需要的全数配置信息。RADIUS效劳器
RADIUS效劳器可作为到其它RADIUS效劳器或其他种类辨别效劳器的代理客户机。
RADIUS效劳器可支持各类方式来辨别用户。它向提供用户所给的用户名及原始口令时
它可支持PPP或CHAP、UNIX登录及其他辨别机制。一样来讲,用户登岸包括NAS发往
RADIUS效劳器的询问(接入申请)和效劳器发还的相应回答(接入许诺或接入拒绝)。接
入申请数据包括用户名、加密口令、NAS IP地址及端口。申请格式(format)还提供有关用
户希望接通的会话类型信息。例如,若是询问以字符模式表示,那么推理为“业务类型=
Exec-User”,但假设申请以PPP数据包模式表示,那么推理的“业务类型=Framed User”和
“Framed Type=PPP”。
RADIUS效劳器接收到NAS发送的接入申请后它在数据库中搜寻所列的用户名。若是
数据库中不存在这一用户名,那么装载一个缺省轮廊或RADIUS效劳器当即发送一个接入
拒绝信息。与该接入拒绝信息可能一路发出一条可选明文信息,该信息可说明拒绝接入的缘
故。
在RADIUS中,辨别和授权是结合在一路的。假设在数据库中搜寻到该用户名而且口令正
确,那么RADIUS效劳器发出许诺接入的回答,其中包括一组描述这一会话所需参数的属
性值对。这些参数一样包括业务类型(封锁式或框架势)、协议类型、分派给用户的IP地址
(静态或动态)、利用的接入表或欲设置在NAS路由选择表中的静态路由。RADIUS效劳器
中的配置信息规定将安装在NAS上的设备。
RADIUS协议的记帐特性可独立于RADIUS辨别和授权利用。RADIUS记帐功能许诺
数据在会话开始、终止时均能发送,这些数据显示了会话期间所用的资源数量(如时刻、数
据包、字节等等)。Internet效劳供给商(ISP)可利用RADIUS接入操纵和记帐软件来知足平
安性和结算的特殊要求。客户机和RADIUS业务器之间的业务通过利用共享秘密进行辨别,
该秘密从不在网上发送。此外,用户口令在客户机和RADIUS效劳器之间发送时通过加密,
从而排除一个非保密网络上的窃听者得悉用户口令的可能性。
TACACS+ 和RADIUS的比较
以下各节对TACACS+和 RADIUS的几个特性进行比较。
UDP 和 TCP
RADIUS 利用 UDP 而 TACACS+ 利用 TCP。 TCP 比UDP提供更多的优势。TCP 提
供面向连接传输,而UDP提供尽力传送。作为尽力传送的补偿,RADIUS 需要额外的可编
程变量,如重传尝试次数和超时,可是它缺少TCP传输提供的内在支持。
分组加密
RADIUS 只对从客户端到效劳器access-request 分组的密码进行加密。分组的其它部份
是明文传输。其他信息,如用户名、授权效劳和记账,可能被第三方字截获。TACACS+除
保留标准TACACS+头部,对整个分组主题进行加密。
辨别和授权
RADIUS结合辨别和授权。由RADIUS 效劳器发给客户端的access-accept 分组包括授
权信息。这使得辨别和授权很难进行分离。
TACACS+ 利用AAA体系结构,对辨别(authentication)、授权(authorization)和记账
(accounting)。如此许诺分离辨别的同时,还能够将TACACS+用于授权和记账。例如,能
够利用Kerberos辨别而授权和记账采纳TACACS+。在NAS通过Kerberos效劳器认证以后,
它从TACACS+效劳请求授权信息,而不需要再次从头认证。NAS通知TACACS+效劳器它
已经成功地通过Keberos效劳器认证,然后效劳器提供授权信息。
在会话进程中,若是需要额外的授权查验,访问效劳器通过TACACS+效劳器来查验用
户是不是许诺利用特定命令。从辨别机制分离提供对可在访问效劳器执行命令的更好操纵。
多协议支持
RADIUS 不支持以下协议:
•
•
•
•
AppleTalk Remote Access (ARA) 协议
Net BIOS Frame Protocol Control 协议
Novell Asynchronous Services Interface (NASI)
PAD 连接
TACACS+ 提供多协议支持。
路由器治理
RADIUS不许诺用户操纵那些命令能够在路由器上执行那些不能够;因此,它在路由器
治理或终端效劳并非够灵活。
TACACS+提供基于用户或基于组两种路由器命令授权操纵。第一种方式指定优先权给
命令 然后路由器通过TACACS+查验用户是不是授权在特定的优先权。第二种方式是显式
在TACACS+效劳器中指定(基于用户或基于组)许诺的命令。
互操作性
RADIUS 标准并非单爱惜操作性。即便几个厂商实现RADIUS 客户端,这并非意味着
它们能够互操作。大约有着45 标准 RADIUS ATTRIBUTES。 Cisco 实现了其中的大部份
并非断地添加。若是客户在他们的效劳器中只利用标准ATTRIBUTES,他们可能实现不同
厂商的互操作性(假定这些厂商实现一样的ATTRIBUTES)。但是,许多厂商实现专用
ATTRIBUTES对标准属性进行补充。若是客户利用这些厂商扩充ATTRIBUTES,互操作无
法实现。
数据流
由于 TACACS+ 和RADIUS协议的不同,客户端和效劳器之间生成的数据流流量也不
同。下面例子中讲述在客户端和效劳器之间利用TACACS+ 和RADIUS的数据流,包括辨
别路由器治理、exec授权、命令授权(RADIUS无法实现),exec记账和命令记账(RADIUS
无法实现)。
TACACS+ 数据流例子
以下例子假定用户telnet到路由器,执行一条命令,然后退前途由器,登录辨别、exec
授权、命令授权、start-stop exec 记账和命令记账的数据流:
RADIUS 数据流例子
以下例子假定用户telnet到路由器,执行一条命令,然后退前途由器,登录辨别、exec
授权、和start-stop exec 记账的数据流(其他治理效劳不可用):
版权声明:本文标题:TACACS和RADIUS比较 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/free/1711020818h586763.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论