TACACS_+和RADIUS比较(全)
- 格式:doc
- 大小:155.00 KB
- 文档页数:5
TACACS +和RADIUS比较前言用于的二个突出的安全协议控制访问到网络是Cisco TACACS+和RADIUS。
RADIUS规格在RFC 2865 描述,废弃RFC 2138。
Cisco做支持两个协议与最佳组提供。
它不是Cisco的目的与RADIUS竞争或影响用户使用TACACS+ 。
您应该选择最将好达到需要的解决方案。
本文讨论在TACACS+和RADIUS 的之间区别,因此您能使一个通告选择做出。
Cisco从Cisco IOS软件版本11.1支持® RADIUS协议在1996年2 月。
Cisco继续提高RADIUS 客户端带有新功能和功能,支持RADIUS 作为标准。
Cisco严重评估了RADIUS作为安全协议在开发TACACS+之前。
许多功能在TACACS+协议包括适应增长的安全市场的需要。
协议设计扩展当网络增长和适应新的安全技术当市场成熟。
TACACS+协议的底层体系结构补全独立验证、授权和记帐(AAA)体系结构。
RADIUS背景RADIUS是使用AAA协议的接入服务器。
它是获取对网络和网络服务的远程访问未被授权的访问分布式安全的系统。
RADIUS 包括三个组件:•一个协议带有使用用户数据协议的帧格式(UDP)/IP•一个服务器•一个客户端而客户端在拨号接入服务器驻留并且可以被分配在网络过程中,服务器在一台中央计算机典型地运行在用户站点。
Cisco合并RADIUS客户端到Cisco IOS软件版本11.1以上和其他设备软件里。
网络接入服务器(NAS)运行作为RADIUS的客户端。
客户端负责通过用户信息对指定的RADIUS服务器,然后操作在返回的回应。
RADIUS服务器负责对收到用户连接请求,验证用户,然后返回所有配置信息必要为客户端提供服务到用户。
RADIUS服务器能作为代理客户端到其他认证服务器。
处理在客户端和RADIUS 服务器之间通过使用分享秘密验证,在网络从未被发送。
另外,发送所有用户密码被加密在客户端和RADIUS服务器之间,排除监听在一个不安全的网络的某人可能确定用户密码的可能性。
RADIUS服务器支持各种各样的方法验证用户。
当它带有用户时和原始密码产生的用户名,可以支持PPP、密码验证协议(PAP) 或者质询握手验证协议(CHAP)、UNIX登录和其他认证机制。
商业和自由地有服务器编码的一定数量的分配可用。
Cisco服务器包括Cisco Secure ACS Windows版、Cisco Secure ACS UNIX版和Cisco 访问注册。
比较TACACS+和RADIUS以下部分比较TACACS+和RADIUS几个功能。
当TACACS+使用TCP时,RADIUS使用UDP。
TCP提供几个优点胜过UDP。
而UDP 提供最佳效果发送,TCP提供面向连接的传输。
RADIUS要求另外的可编程变量例如转播企图和超时补尝尽力而为传输,但缺乏TCP传输提供内置支持的级别:•使用TCP如何提供单独确认请求收到了,在(近似)网络往返时间(RTT之内)不管装载并且减慢后端验证机制(TCP应答)也许是。
•TCP提供一失败或者不的立即指示,服务器由重置(RST负责操行)。
您能确定当服务器失效并且回到服务时如果使用长寿命的TCP连接。
UDP不能说出发生故障的服务器,一个慢速服务器和一个不存在的服务器的之间差别。
•使用TCP Keepalive,服务器失败可以被发现带外带有实际请求。
与多个服务器的连接可以同时被维护,并且您只需要寄发消息到那个被知道是正在运行的。
•TCP是更加可升级的并且适应生长,并且拥塞,网络。
RADIUS在访问请求信息包加密仅密码,从客户端到服务器。
信息包的剩下的事末加密。
其他信息,例如用户名,核准的服务和认为,能由第三方捕获。
TACACS+加密信息包但分支的整个机体一个标准的TACACS+头。
在头之内指示的字段机体不论是否被加密。
为调试目的,它是有用的有信息包的机体末加密。
然而,在正常运行期间,信息包的机体为安全通信充分地被加密。
RADIUS结合认证和授权。
RADIUS服务器发送的访问接受信息包到客户端包含授权信息。
这使它难分离认证和授权。
TACACS+使用AAA体系结构,分离验证、授权和记帐。
这允许能为授权和记帐仍然使用TACACS+的独立的身份验证解决方案。
例如,带有TACACS+,使用Kerberos认证和TACACS+ 授权和记帐是可能的。
在NAS在Kerberos 服务器之后验证,请求授权信息从TACACS+服务器没有必须重新鉴别。
NAS通知TACACS+服务器在Kerberos服务器成功验证,并且服务器然后提供授权信息。
在会话期间,如果另外特许检查是需要的,接入服务器检查以TACACS+服务器确定是否同意用户权限使用一个特定命令。
这提供对在接入服务器可以被执行当分离从认证机制时的命令的更加巨大的控制。
多协议支持RADIUS不支持以下协议:•AppleTalk远程访问(ARA)协议•NetBIOS帧协议控制协议•Novell异步服务接口(NASI)•X.25 PAD连接TACACS+提供多协议支持。
RADIUS不允许用户控制哪些命令在路由器可以被执行并且哪些不能。
所以,RADIUS不是如有用为路由器管理或如灵活为终端服务。
TACACS+提供二个方法控制router命令的授权根据一个单个用户或单个组的基本类型。
第一个方法将指定权限级别到命令和安排路由器用TACACS+服务器验证用户是否被认证在指定的权限级别。
第二个方法是指定在TACACS+服务器,在一个单个用户或单个组的基本类型,明确命令允许。
共用由于RADIUS请求注解(RFC)的多种解释,遵照RADIUS RFC不保证共用。
即使几个供应商实现RADIUS客户端,这不意味着他们是相互可操作的。
Cisco实现多数RADIUS属性和一致添加更多。
如果用户在他们的服务器使用仅标准RADIUS属性,他们能可能相互运用在几个供应商之间,提供这些供应商实现同样属性。
然而,许多供应商实现是专有属性的扩展名。
如果用户使用这些特定供应商的扩展属性之一,共用不是可能的。
数据流由于TACACS+的早先被援引的区别和RADIUS 、数据流量之间生成在之间客户端和服务器将有所不同。
以下示例说明客户端和服务器的之间数据流为TACACS+和RADIUS当为路由器管理使用带有认证、EXEC授权、RADIUS 不能执行)的命令授权(时,exec记帐和RADIUS不能执行)的命令记帐。
[page]TACACS+数据流示例以下示例假设登录认证,EXEC授权,命令授权,start-stop exec记帐,并且命令记帐实现带有TACACS+当时用户Telnet到路由器,执行一个命令,并且退出路由器:RADIUS数据流示例以下示例假设登录认证,EXEC授权,并且start-stop exec记帐实现与RADIUS当时用户Telnet 到路由器,执行一个命令,并且退出路由器(其他管理服务不是可用的):设备支持下面的表列表TACACS+和RADIUS AAA技术支持由设备类型。
此表提供关于技术支持添加的软件版本的信息。
Cisco AironetCisco设备TACACS+认证TACACS+授权TACACS+记帐RADIUS认证RADIUS授权RADIUS记帐Cisco Aironet112.2(4)JA 12.2(4)JA 12.2(4)JA 所有访问点所有访问点所有访问点Cisco IOS软件210.33 10.33 10.33311.1.1 11.1.1411.1.15 Cisco缓存引擎-- -- -- 1.5 1.56--Cisco Catalyst交换机2.2 5.4.1 5.4.1 5.1 5.4.14 5.4.15Cisco CSS 11000内容服务交换机5.20 5.20 5.20 5.0 5.04--Cisco PIX防火墙4.0 4.07 4.28,5 4.05.27 4.28,5Cisco Catalyst1900/2820交换机8.x企业9-- -- -- -- --Cisco Catalyst2900xl/3500XL交换机11.2.(8)SA61011.2.(8)SA61011.2.(8)SA61012.0(5)WC51112.0(5)WC511,412.0(5)WC511,51.只有无线客户端的终止,不是管理数据流在除Cisco IOS软件版本12.2(4)ja以上的之外版本。
在Cisco IOS软件版本12.2.(4)ja以上,认证为无线客户端和管理数据流的终止是可能的。
2.检查功能导航(现在废弃由软件顾问) 平台支持在Cisco IOS软件之内3.发出命令认为没实现直到Cisco IOS软件版本11.1.6.34.没有命令授权5.没有命令记帐6.URL阻塞仅,不管理数据流7.授权为非VPN数据流通过PIX注意:ACL RADIUS属性11授权的版本5.2 -访问控制表(ACL) RADIUS供应商专用属性(VSA)的访问控制列表技术支持或TACACS+授权为终止在PIX版本6.1的VPN数据流-技术支持为终止在PIX授权的版本6.2.2 -可下载的ACLs的技术支持带有RADIUS授权为VPN数据流终止在PIX版本6.2 -技术支持的VPN数据流为PIX管理数据流通过TACACS+8.占非VPN数据流通过仅PIX,不是管理数据流注意:版本5.2 -占的技术支持VPN客户端软件TCP信息包通过PIX9.仅企业软件10.需要8M闪存为镜象11.仅VPN终止。