1、产品与技术 TACACS+与RADIUS的比较 肖智 摘要TACACS+与RADIUS是网络的认证服务 器,由于两者实现的功能类似,本文介绍了两者的异同,旨在 解决网络认证服务器选型及使用的问题。 关键词TACACS+,RADIUS,认证服务器,认证,授权 一、引言 在大型访问服务的网络中,需要有专门的协议来认证、 授权及审计用户,最著名的控制协议有Cisco的 TACACS+和Livingston Enterprise的RADIUS两个, 在Cisco的产品中同时支持两个协议,本文通过比较两种协 议,旨在通过对协议的分析比较,找出两种协议的相同点和 不同点,从而能够选择适合自己网络的最佳方案
2、。 Cisco的10S从1996年2月发布的111的版本开始支 持RADIUS,并且不断地增强其功能及特性,作为标准来支持 RADIUS,同时Cisco也在不断发展TACACS+,其ACS服务 器软件就是同时实现了两种协议的服务器例子。 Cisco在开发TACACS+之前对RADIUS作了详尽的 分析,在TACACS+之中增加了很多特性,以适应网络的拨 入和安全方面的扩展性,并且独立于AAA体系。 二、RADIUS背景 RADIUS是Livingston Enterprises公司开发的使访 问服务器用来认证、授权和审计的协议,用于防止远程用户 非授权访问,RADIUS由三部分组成: 建立在U
3、PDIP上的帧协议 服务器 客户端 RADIUS服务器一般集中在网络的中心,而客户端则 分布在整个网络, 1,客户服务器模式 网络访问服务器(NAS)是RADIUS的客户端,此客户 端负责传递用户的信息到RADIUS服务器,并执行服务器 返回的响应,RADIUS服务器负责接收用户的连接请求,认 证用户,并且返回所有必要的为此用户获得服务所需的信 息,并且RADIUS服务器还可作为一个其他认证服务器的 代理客户。 2、网络安全 客户端与RADIUS服务器之间的数据传送是通过一个 共同的密钥来认证的,此密钥不在网络中传输,任何用户的 密码是通过密钥加密后在网络中传输的,防止有人在网络中 通过抓包的
4、方式获得用户密码等重要信息。 3 方便的认证机制 RADIUS服务器支持多种方式认证用户,当利用用户 名和密码来认证用户时,能支持PPP PAP或CHAP, UNIX登陆及其他认证机制。 4 服务器代码 目前有多种发布的商用及免费的服务器软件,Cisro公 司的软件包括Cisro号Secure ACS for Windows,Cisro Secure UNIX及Cisro Access Registrar 三,TACACS+和RADIUS的比较 下面对TACACS+和RADIUS的各种特性作一比较 1 UDP和TCP RADIUS使用UDP然而TACACS+使用TCP TCP提供比UDP更多的
5、高级特性,TCP是面向连接的可 靠的传输服务,但UDP只提供最优的传输,因而RADIUS 需要额外的代码来实现例如重传、超时等机制,所有这些在 TCP中已是固有的特性: TCP对每个请求给予独立的应答,响应时间大约是 网络的R1vr,而不管认认证或网络的负荷。 TCP可以通过RST包来立即确认服务器宕机或没 有运行,客户端能确定什么时候服务器宕机或重新恢复服 务,但UDP不能确定服务器是处于宕机或是响应慢或服务 不存在。 通过TCP的存活机制(TCP lalives),服务器的宕机 可以通过带外的机制得以确认,并且可能维持与多个服务器的 连接,对于认证的请求只发给确认是工作正常的服务器。 +T
6、CP更具网络的扩充性,并能适应拥塞的网络。 2,数据包加密 RADIUS仅对密码本身进行加密,而对客户端与服务 器通信的其他部分并没有进行加密传输,而是明文的,如用 户名,授权访问的服务内容,审记信息等均是明文传输的。这 此信息可能通过第三方软件捕获。 宽带世界2003年8月 一73 维普资讯 http:/ 产品与技术 TACACS对整个数据包进行加密,仅留下 TACACS的数据包头,在数据包头中仅表示该数据包是 加密的还是未加密的,表示未加密的数据包一般仅用来调试 用,而一般的应用中则是加密的,因而TACACS+对整个数 据包加密保证了客户端与服务器之间的通信的安全性。 3,认证和授权 RA
7、DIUS包含了认证和授权,RADIUS发回的访问允 许的确认包包括认证和授权的信息,这使得无法将认证和授 权分开。 TACACS+ 使 用 AAA (authentication, authorization,和accounting)体制,这种机制下认证、授权 与审记是分开的。这使得使用不同的机制实现认证和授权 成为可能,例如,可以使用Kerberos来作认证,而用 TACACS+来进行授权和审计,当NAS通过Kerberos的 认证之后,请求TACACS+服务器授权,而不用再认证, NAS通知TACACS+客户已能通过Kerberos服务器的认 证,这时TACACS服务器则提供授权信息。 在
8、一个客户的会话期间,如果需要额外的授权检查, NAS服务器会与TACACS+服务器交互以确定用户是否 能进行某个特殊的命令,这提供了更好的对用户的控制。 4,多协议支持 RADIUS不支持如下协议: AppleTalk远程访问协议(ARA) Net BIOS帧协议控制 NoveU异步服务接口(NAsI) X25 PAD连接 TACACS提供多协议的支持 5,路由器管理 RADIUS无法控制用户可以在路由器上运行哪些命令 或不能运行哪些命令,所以,RADIUS不适合用于通过终端 服务来管理路由器。 TACACS提供一种机制来精确到每个用户或用户组 对路由器命令的控制,一种方法是对每个用户分配一个
9、特权 级别(可以是0_-15级),通过TACACS来确认用户处于 什么级别的权力,另一种方法是利用TACACS+,针对每一 个用户,允许或不允许使用某个命令。 6,互用性 RADIUS标准并不能保证互用性,甚至不同厂商的客 户端也不能保证能互用,RADIUS标准定义了大约45个属 性,Cisco实现了绝大多数属性并增加了更多属性,如果只 在服务器上使用标准的属性,则不同厂商的客户端能够互 用,但是很多厂商扩展了其中的属性,如果用户使用了其私 有的属性,互用就变得不可能了。 7,数据流 由于TACACS+与RADIUS机制的不同,其产生的数 据流自然不一样,下面的例子介绍在路由器管理时客户端与 服务器端所进行的认证和授权的全过程。 (1)TACACS+数据流例子 下面的例子假设使用login认证,exec授权,start-stop的 审计,用户telnet到路由器,执行一条命令之后退出路由器。 (2)RADIUS数据流的例子 下面是与TACACS+相同的例子,但管理路由器的服 务不存在。 三、小结 Tc S暇 本文在通过对RADIUS与TACACS+的比较,从而为 选择合适的认证系统提供依据,对于已有的RADIUS系统, 最好沿有RADIUS,如果是新建的认证系统,则TACACS+ 提供更多的特性及便利性。 74 宽带世界2003年8月 维普资讯 http:/
