TACACS+: различия между версиями

TACACS+ (англ. Terminal Access Controller Access Control System plus) — сеансовый протокол, результат дальнейшего усовершенствования TACACS, предпринятого Cisco.

Улучшена безопасность протокола (шифрование), а также введено разделение функций аутентификации, авторизации и учёта, которые теперь можно использовать по отдельности.

TACACS+ использует понятия сеансов. В рамках TACACS+ возможно установление трёх различных типов сеансов AAA (англ. authentication, authorization, accounting). Установление одного типа сеанса в общем случае не требует предварительного успешного установления какого-либо другого. Спецификация протокола не требует для открытия сеанса авторизации открыть сначала сеанс аутентификации. Сервер TACACS+ может потребовать аутентификацию, но протокол этого не оговаривает.

TACACS + -

TACACS +, розшифровується як сервер управління доступом до термінального доступу, є протоколом безпеки, що використовується в рамках AAA для надання централізованої аутентифікації користувачам, які хочуть отримати доступ до мережі.

Особливості - Деякі з особливостей TACACS +:

1. Власний протокол Cisco для рамки AAA, тобто він може використовуватися між пристроєм Cisco та сервером Cisco ACS.
2. Він використовує TCP як протокол передачі.
3. Для цього використовується порт 49 TCP.
4. Якщо пристрій та сервер ACS використовують TACACS +, то всі пакети AAA, що обмінюються між ними, шифруються.
5. Він розділяє AAA на окремі елементи, тобто автентифікація, авторизація та облік розділені.
6. Він забезпечує більш детальний контроль (ніж RADIUS), оскільки команди, дозволені для використання користувачем, можуть бути визначені.
7. Він надає бухгалтерську підтримку, але менш широку, ніж RADIUS.

Робоча -

Клієнт TACACS + називається пристроєм мережевого доступу (Nad) або мережевим сервером доступу (NAS). Мережевий доступ пристрою зв’яжеться з сервером TACACS +, щоб отримати запит на ім'я користувача через CONTINUE повідомлення. Потім користувач вводить ім'я користувача та пристрій мережевого доступу знову звертається до сервера TACACS +, щоб отримати запит на введення пароля (Продовжити повідомлення), де відображається запит про введення пароля користувачеві, користувач вводить пароль, а потім пароль відправляється на сервер TACACS +.

Сервер може відповісти одним із таких відповідей:

• Якщо введені облікові дані є дійсними, сервер TACACS + відповість на повідомлення ACCEPT.
• Якщо введені облікові дані не є дійсними, сервер TACACS + відповість на повідомлення REJECT.
• Якщо зв’язок між сервером TACACS + та сервером NAS або TACACS + не працює належним чином, він відповість на повідомлення про помилку.
• Якщо потрібна авторизація TACACS +, знову звертається до сервера TACACS + і він повертає ACCEPT або REJECT відповідь авторизації. Якщо повідомлення ACCEPT повернене, воно містить атрибути, які використовуються для визначення служб, яким користувач може робити.

Для ведення бухгалтерського обліку клієнт надішле повідомлення ЗАПИТАННЯ на сервер TACACS +, на який Сервер відповідає у відповідь повідомленням про те, що запис отримано.

Перевага -

1. Забезпечує більш детальний контроль, ніж RADIUS.TACACS +, дозволяє адміністратору мережі визначати, які команди може виконувати користувач.
2. Всі пакети AAA зашифровані, а не просто паролі (у випадку Radius).
3. TACACS + використовує TCP замість UDP. TCP гарантує зв’язок між клієнтом і сервером.

Недолік -

1. Оскільки він є власником Cisco, тому його можна використовувати лише між пристроями Cisco.
2. Менш широка підтримка бухгалтерського обліку, ніж RADIUS.

• TACACS
• RADIUS
• DIAMETER
• PPP

Это заготовка статьи о компьютерных сетях. Помогите Википедии, дополнив её.

Для улучшения этой статьи желательно: Найти и оформить в виде сносок ссылки на независимые авторитетные источники, подтверждающие написанное. После исправления проблемы исключите её из списка. Удалите шаблон, если устранены все недостатки.