📜  TACACS+ 协议

📅  最后修改于: 2022-05-13 01:57:02.839000             🧑  作者: Mango

TACACS+ 协议

如果单个管理员想要访问 100 个路由器,并且设备的本地数据库用于用户名和密码(身份验证),那么管理员必须在不同时间创建相同的用户帐户。此外,如果他想为设备保留不同的用户名和密码,那么他必须手动更改设备的身份验证。当然,这是一项繁重的任务。

为了在一定程度上简化此任务,使用了 Cisco ACS(访问控制服务器)。 ACS 提供了一个集中管理系统,其中保存了用户名和密码的数据库。此外,还可以配置授权(表示用户被授权执行的操作)。但为此,我们必须告诉路由器参考 ACS 来决定身份验证和授权。

ACS 服务器和客户端之间使用两种协议来实现此目的:

  1. TACACS+
  2. 半径

在这里,我们将只讨论 TACACS+。

TACACS+ –
TACACS+ 代表终端访问控制器访问控制服务器,是 AAA 框架中使用的一种安全协议,为想要访问网络的用户提供集中式身份验证。

特性 – TACACS+ 的一些特性包括:

  1. Cisco 为 AAA 框架开发了协议,即它可以在 Cisco 设备和 Cisco ACS 服务器之间使用。
  2. 它使用 TCP 作为传输协议。
  3. 它使用 TCP 端口号 49。
  4. 如果设备和 ACS 服务器正在使用 TACACS+,那么它们之间交换的所有 AAA 数据包都会被加密。
  5. 它将AAA 分成不同的元素,即认证、授权和计费是分开的。
  6. 它提供了更精细的控制(比 RADIUS),因为可以指定授权用户使用的命令。
  7. 它提供记帐支持,但不如 RADIUS 广泛。

在职的 -
TACACS+ 的客户端称为网络访问设备 (Nad) 或网络访问服务器 (NAS)。网络访问设备将通过CONTINUE消息联系 TACACS+ 服务器以获取用户名提示。然后用户输入用户名,并且网络访问设备再次联系TACACS+服务器以获得向用户显示密码提示的密码提示(继续消息),用户输入密码,然后将密码发送到TACACS+服务器。

服务器可以使用以下回复消息之一进行响应:

  • 如果输入的凭据有效,则 TACACS+ 服务器将以 ACCEPT 消息进行响应。
  • 如果输入的凭据无效,则 TACACS+ 服务器将以 REJECT 消息进行响应。
  • 如果 TACACS+ 服务器和 NAS 或 TACACS+ 服务器之间的链接不能正常工作,那么它将以 ERROR 消息进行响应。
  • 如果需要 TACACS+ 授权,则再次联系 TACACS+ 服务器并返回 ACCEPT 或 REJECT 授权响应。如果返回 ACCEPT 消息,则它包含用于确定允许用户执行的服务的属性。

对于记帐,客户端将向 TACACS+ 服务器发送一条 REQUEST 消息,服务器用一条 RESPONSE 消息响应该消息,说明已收到记录。

优势 -

  1. 提供比 RADIUS 更精细的控制。TACACS+ 允许网络管理员定义用户可以运行的命令。
  2. 所有 AAA 数据包都经过加密,而不仅仅是密码(在 Radius 的情况下)。
  3. TACACS+ 使用 TCP 而不是 UDP。 TCP 保证客户端和服务器之间的通信。

坏处 -

  1. 由于它是 Cisco 专有的,因此只能在 Cisco 设备之间使用。 TACAS+ 是一个开放标准 RFC8907
  2. 对会计的支持不如 RADIUS 广泛。