TACACS+
TACACS+
在計算機網路中,TACACS+ (Terminal Access Controller Access-Control System Plus)是一種為路由器、網路訪問伺服器和其他互聯計算設備通過一個或多個集中的伺服器提供訪問控制的協議。TACACS+提供了獨立的認證、授權和記賬服務。
TACACS+(Terminal Access Controller Access Control System)終端訪問控制器訪問控制系統。與我們IDsentrie的Radius協議相近。不過TACACS+用的是TCP協議,Radius用的是UDP,不知道各有什麼優點和缺點呢。它們的重要作用就是3A。所謂3A, 即Authentication認證,Authorization授權, Accounting計費。在測試Radius時,我對authentication已經比較了解,但是對authorization還比較模糊,這次測試tacacs+,使我對authorization也開始了解了。授權簡單的說就是給用戶開放某些資源。
TACACS+基於TACACS,但是,儘管名字如此,它是一個全新的協議,與之前的TACACS並不兼容,在最近構建或更新的網路中,TACACS+和RADIUS已經廣泛地取代了早先的協議,而在一些舊的系統中,仍然還運行著一些TACACS和XTACACS的系統。
TACACS+共有7種類型的消息:
認證:
1、Authentication_START
2、Authentication_CONTIUNE
3、Authentication_REPLY
授權:
4、Authorization_REQUEST
5、Authorization_RESPONSE
計費:
6、Accounting_REQUEST
7、Accounting_REPLY
儘管RADIUS在用戶配置文件中集成了認證和授權,TACACS+分離了這兩種操作,另外的不同在於TACACS+使用傳輸控制協議(TCP)而RADIUS使用用戶報文協議(UDP).多數管理員建議使用TACACS+,因為TCP被認為是更可靠的協議。
TACACS+協議的擴展為最初的協議規範提供了更多的認證請求類型和更多的響應代碼。
TACACS+ 使用TCP埠49,包括三種獨立的協議,如果需要,能夠在獨立的伺服器上實現。
TACACS+提供了多協議支持,如IP和AppleTalk.一般操作都對數據包進行全部加密,以提供更安全的通信,這是一個Cisco對最初的TACACS協議提供的專有的改進。
TACACS+ 操作中使用APPLETALK和 NETBIOS.
• Kerberos
• RADIUS
• Diameter