TACACS - TACACS

Система доступа Access-Control Terminal Controller ( TACACS , / т æ к æ к s / ) относится к семейству соответствующих протоколов обработки удаленной аутентификации и связанных с ними услуг для сетевого контроля доступа через централизованный сервер. Первоначальный протокол TACACS , восходящий к 1984 году, использовался для связи с сервером аутентификации, распространенным в старых сетях UNIX ; он породил связанные протоколы:

• Расширенный TACACS ( XTACACS ) - это проприетарное расширение TACACS, представленное Cisco Systems в 1990 году, без обратной совместимости с исходным протоколом. И TACACS, и XTACACS позволяют серверу удаленного доступа взаимодействовать с сервером аутентификации, чтобы определить, есть ли у пользователя доступ к сети.
• Контроллер доступа к терминалу Система контроля доступа плюс ( TACACS + ) - это протокол, разработанный Cisco и выпущенный в качестве открытого стандарта начиная с 1993 года. Несмотря на то, что он является производным от TACACS, TACACS + представляет собой отдельный протокол, который обрабатывает службы аутентификации, авторизации и учета (AAA) . TACACS + в значительной степени заменил своих предшественников.

История

TACACS первоначально была разработана в 1984 году BBN Technologies для управления MILNET , который управлял несекретные сетевой трафик для DARPA в то время и позже эволюционировать в Департамент обороны США «s NIPRNet . Первоначально разработанный как средство автоматизации аутентификации - позволяющий кому-то, кто уже вошел в систему на одном хосте в сети, подключаться к другому в той же сети без необходимости повторной аутентификации - он был впервые официально описан Брайаном Андерсоном из BBN в декабре 1984 года в IETF. RFC 927. Cisco Systems начала поддерживать TACACS в своих сетевых продуктах в конце 1980-х годов, в конечном итоге добавив к протоколу несколько расширений. В 1990 году расширения Cisco поверх TACACS стали проприетарным протоколом под названием Extended TACACS (XTACACS). Хотя TACACS и XTACACS не являются открытыми стандартами, Крейг Финсет из Университета Миннесоты с помощью Cisco опубликовал описание протоколов в 1993 году в IETF RFC 1492 в информационных целях.

Технические описания

TACACS

TACACS определен в RFC 8907 (старый rfc 1492) и по умолчанию использует порт 49 ( TCP или UDP ). TACACS позволяет клиенту принять имя пользователя и пароль и отправить запрос на сервер аутентификации TACACS, иногда называемый демоном TACACS или просто TACACSD. Он определит, принять или отклонить запрос аутентификации, и отправить ответ обратно. TIP (узел маршрутизации, принимающий соединения по коммутируемой линии, в которые пользователь обычно хотел бы войти в систему) будет разрешать доступ или нет, в зависимости от ответа. Таким образом, процесс принятия решения «открывается», а алгоритмы и данные, используемые для принятия решения, находятся под полным контролем того, кто запускает демон TACACS.

XTACACS

XTACACS, что означает расширенный TACACS, обеспечивает дополнительную функциональность для протокола TACACS. Он также разделяет функции аутентификации, авторизации и учета (AAA) на отдельные процессы, даже позволяя им обрабатывать отдельные серверы и технологии.

TACACS +

TACACS + и RADIUS обычно заменили TACACS и XTACACS в недавно построенных или обновленных сетях. TACACS + - это совершенно новый протокол, несовместимый со своими предшественниками, TACACS и XTACACS. TACACS + использует TCP (в то время как RADIUS работает через UDP).

Поскольку TCP является протоколом, ориентированным на соединение, TACACS + должен реализовать управление передачей. Однако RADIUS не должен обнаруживать и исправлять ошибки передачи, такие как потеря пакетов , тайм-аут и т. Д., Поскольку он использует протокол UDP без установления соединения . RADIUS шифрует только пароли пользователей при передаче от клиента RADIUS на сервер RADIUS. Вся остальная информация, такая как имя пользователя, авторизация, учетная запись, передается в виде открытого текста. Следовательно, он уязвим для различных типов атак. TACACS + шифрует всю информацию, упомянутую выше, и поэтому не имеет уязвимостей, присутствующих в протоколе RADIUS.

TACACS + - это разработанное Cisco расширение для TACACS, которое шифрует все содержимое каждого пакета. Более того, он обеспечивает детальное управление (авторизация команды за командой).

Реализации

• Клиент TACACS + и модуль PAM
• tacacs + VM , реализация tac_plus + webadmin из виртуальной машины
• TACACS.net , бесплатная реализация TACACS + для Windows
• TAC_plus из Shrubbery
• TAC_plus от Pro-Bono-Publico
• Модуль FreeRADIUS TACACS + доступен начиная с версии 4.0

Смотрите также

• Список протоколов аутентификации
• РАДИУС
• Kerberos
• Диаметр

использованная литература

внешние ссылки

• Обзор технологии AAA
• Анализ протокола TACACS + и его реализаций с точки зрения безопасности, Openwall
• Преимущества и передовой опыт TACACS +

RFC

• RFC  927 - опция Telnet для идентификации пользователя TACACS
• RFC  1492 - протокол управления доступом, иногда называемый TACACS
• RFC  8907 - Протокол системы управления доступом контроллера доступа к терминалу (TACACS +)