TACACS +和RADIUS比较(全).doc

TACACS +和RADIUS比较前言 用于的二个突出的安全 协议控制访问到网络是Cisco TACACS+和RADIUS。RADIUS规格 在 RFC 2865 描述 ，废弃 RFC 2138 。 Cisco做支持两个协议与最佳组提供。它不是Cisco的 目的与RADIUS竞争或影响用户使用TACACS+ 。您应该选择最 将好达到需要的解决方案。本文讨论在TACACS+和RADIUS的之 间区别，因此您能使一个通告选择做出。 Cisco从 Cisco IOS软件版本11.1支持 RADIUS协议在1996年2 月。Cisco继续提高RADIUS客户端带有新功能和功能，支持 RADIUS 作为标准。 Cisco严重评估了 RADIUS作为安全协议在开发TACACS+之前。许多功能在 TACACS+协议包括适应增长的安全市场的需要。协议设计扩展 当网络增长和适应新的安全技术当市场成熟。TACACS+协议的 底层体系结构补全独立验证、授权和记帐(AAA)体系结构。 RADIUS背景 RADIUS是使用AAA协议的接入服务器。 它是获 取对网络和网络服务的远程访问未被授权的访问分布式安全的系统 。RADIUS 包括三个组件： 一 个协议带有使用用户数据协议的帧格式(UDP)/IP 一个服务器 一个客户 端而客户端在拨号接入服务器驻留并 且可以被分配在网络过程中，服务器在一台中央计算机典型地运行 在用户站点。Cisco合并RADIUS客户端到Cisco IOS软件版本 11.1以上和其他设备软件里。 客户端/服务器型号 网络接入服务器(NAS)运 行作为RADIUS的客户端。客户端负责通过用户信息对指定的 RADIUS服务器，然后操作在返回的回应。 RADIUS服务器负责 对收到用户连接请求，验证用户，然后返回所有配置信息必要为客 户端提供服务到用户。RADIUS服务器能作为代理客户端到其 他认证服务器。 网络安全 处理在客户端和RADIUS 服务器之间通过使用分享秘密验证，在网络从未被发送。 另 外，发送所有用户密码被加密在客户端和RADIUS服务器之间，排除 监听在一个不安全的网络的某人可能确定用户密码的可能性。 灵活的认 证机制 RADIUS服务器支 持各种各样的方法验证用户。当它带有用户时和原始密码产 生的用户名，可以支持PPP、密码验证协议(PAP) 或者质询握手验 证协议(CHAP)、UNIX登录和其他认证机制。 服务器代码可用性 商业和自由地有服务器 编码的一定数量的分配可用。Cisco服务器包括 Cisco Secure ACS Windows版、Cisco Secure ACS UNIX版和Cisco 访问注册。 比较TACACS+和RADIUS 以 下部分比较TACACS+和RADIUS几个功能。 UDP和 TCP 当TACACS+使用TCP时 ，RADIUS使用UDP。 TCP提供几个优点胜过UDP。而UDP 提供最佳效果发送，TCP提供面向连接的传输。 RADIUS要求 另外的可编程变量例如转播企图和超时补尝尽力而为传输，但缺乏 TCP传输提供内置支持的级别： 使用 TCP如何提供单独确认请求收到了，在(近似)网络往返时间(RTT之内 )不管装载并且减慢后端验证机制(TCP应答)也许是。 TCP提供一失败或者不的立即指示，服务器由重置 (RST负责操行)。您能确定当服务器失效并且回到服务时如果 使用长寿命的TCP连接。UDP不能说出发生故障的服务器，一 个慢速服务器和一个不存在的服务器的之间差别。 使用TCP Keepalive，服务器失败可以被发现带外带 有实际请求。与多个服务器的连接可以同时被维护，并且您 只需要寄发消息到那个被知道是正在运行的。 TCP是更加可升级的并且适应生长，并且拥塞，网络 。信息包加 密 RADIUS在访问请求信 息包加密仅密码，从客户端到服务器。信息包的剩下的事末 加密。其他信息，例如用户名，核准的服务和认为，能由第 三方捕获。 TACACS+加密信息包但分 支的整个机体一个标准的TACACS+头。在头之内指示的字段机 体不论是否被加密。为调试目的，它是有用的有信息包的机 体末加密。然而，在正常运行期间，信息包的机体为安全通 信充分地被加密。 认证和授权 RADIUS结合认证和授权。RADIUS服务器发送的 访问接受信息包到客户端包含授权信息。这使它难分离认证 和授权。 TACACS+使用AAA体系结构， 分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。 例如，带有TACACS+， 使用Kerberos认证和TACACS+ 授权和记帐是可能的。在NAS在 Kerberos 服务器之后验证，请求授权信息从TACACS+服务器没有必 须重新鉴别。NAS通知TACACS+服务器在Kerberos服务器成功 验证，并且服务器然后提供授权信息。 在会话期间，如果另外特许检查是需要的，接入服务 器检查以TACACS+服务器确定是否同意用户权限使用一个特定命令。 这提供对在接入服务器可以被执行当分离从认证机制时的命 令的更加巨大的控制。 多协议支持 RADIUS不支持以下协 议： AppleTalk远程访问(ARA)协议 NetBIOS帧协议控制协议 Novell异步服务接口 (NASI) X.25 PAD连接TACACS+提供多协议支持。 路由器管 理 RADIUS不允许用户 控制哪些命令在路由器可以被执行并且哪些不能。所以， RADIUS不是如有用为路由器管理或如灵活为终端服务。 TACACS+提供二个方法控制router命 令的授权根据一个单个用户或单个组的基本类型。第一个方 法将指定权限级别到命令和安排路由器用TACACS+服务器验证用户是 否被认证在指定的权限级别。第二个方法是指定在TACACS+服 务器，在一个单个用户或单个组的基本类型，明确命令允许。 共用 由于RADIUS请求注解 （RFC）的多种解释，遵照RADIUS RFC不保证共用。即使几个 供应商实现RADIUS客户端，这不意味着他们是相互可操作的。 Cisco实现多数RADIUS属性和一致添加更多。如果用户 在他们的服务器使用仅标准RADIUS属性，他们能可能相互运用在几 个供应商之间，提供这些供应商实现同样属性。然而，许多 供应商实现是专有属性的扩展名。如果用户使用这些特定供 应商的扩展属性之一，共用不是可能的。 数据流 由于TACACS+的早先被 援引的区别和RADIUS 、数据流量之间生成在之间客户端和服务器 将有所不同。以下示例说明客户端和服务器的之间数据流为 TACACS+和RADIUS当为路由器管理使用带有认证、EXEC授权、RADIUS 不能执行)的命令授权(时，exec记帐和RADIUS不能执行)的命令记帐。 pageTACACS+数据流示例 以下示例假设登录认证，EXEC授权，命令授权， start-stop exec记帐，并且命令记帐实现带有TACACS+当时用户 Telnet到路由器，执行一个命令，并且退出路由器： RADIUS数据流示例 以下示例假设登录认 证，EXEC授权，并且start-stop exec记帐实现与RADIUS当时用户 Telnet 到路由器，执行一个命令，并且退出路由器(其他管理服务 不是可用的)： 设备支持 下面的表列表TACACS+和RADIUS AAA技术支持由设备 类型。此表提供关于技术支持添加的软件版本的信息。Cisco AironetCisco设备TACACS+认证TACACS+ 授权TACACS+记帐RADIUS认证RADIUS授 权RADIUS记帐 Cisco Aironet112.2(4)JA12.2(4)JA12.2(4)JA所有访问 点所有访问点所有访问点Cisco IOS软件2 10.3310.3310.333 11.1.111.1.14 11.1.15 Cisco缓存引擎-1.51.56 -Cisco Catalyst交 换机 2.25.4.15.4.15.15.4.14 5.4.15 Cisco CSS 11000内容服务交换机5.205.205.205.05.04 -Cisco PIX防火墙4.04.07 4.28,5 4.05.27 4.28,5 Cisco Catalyst 1900/2820交换机8.x企业9 -Cisco Catalyst 2900xl/3500XL交换机11.2.(8)SA610 11.2.(8)SA610 11.2.(8)SA610 12.0(5)WC511 12.0(5)WC511， 4 12.0(5)WC511， 5 Cisco VPN 3000集中器 6 3.03.0-2.012 2.02.012 Cisco VPN 5000集中器 -5.2X12 5.2X12 5.2X12 表注释 1. 只有无线客户端的终 止，不是管理数据流在除Cisco IOS软件版本12.2(4)ja以上的之外 版本。在Cisco IOS软件版本12.2.(4)ja以上，认证为无线客 户端和管理数据流的终止是可能的。 2. 检查功能导航(现在废弃由软件顾问) 平台支持在 Cisco IOS软件之内 3. 发出命令认为没 实现直到Cisco IOS软件版本11.1.6.3 4. 没有命令授权 5. 没有命 令记帐 6. URL阻塞仅，不管理数据流 7. 授权为非VPN数据流通过 PIX 注意：ACL RADIUS属性11授权的版本5.2 -访问控制 表(ACL) RADIUS供应商专用属性(VSA)的访问控制列表技术支持或 TACACS+授权为终止