在計算機網路中,TACACS+ (Terminal Access Controller Access-Control System Plus)是一種為路由器、網路訪問伺服器和其他互聯計算設備通過一個或多個集中的伺服器提供訪問控制的協定。TACACS+提供了獨立的認證、授權和記賬服務。
基本介紹
介紹,歷史,協定報文類型,認證、授權與記賬,協定細節,參見,
介紹
TACACS+(Terminal Access Controller Access Control System)終端訪問控制器訪問控制系統。與我們IDsentrie的Radius協定相近。不過TACACS+用的是TCP協定,Radius用的是UDP,不知道各有什麼優點和缺點呢。它們的重要作用就是3A。 所謂3A, 即Authentication認證,Authorization授權, Accounting計費。 在測試Radius時,我對authentication已經比較了解,但是對authorization還比較模糊,這次測試tacacs+,使我對authorization也開始了解了。授權簡單的說就是給用戶開放某些資源。
歷史
TACACS+基於TACACS,但是,儘管名字如此,它是一個全新的協定,與之前的TACACS並不兼容,在最近構建或更新的網路中,TACACS+和RADIUS已經廣泛地取代了早先的協定,而在一些舊的系統中,仍然還運行著一些TACACS和XTACACS的系統。
協定報文類型
TACACS+共有7種類型的訊息:
認證:
1、Authentication_START
2、Authentication_CONTIUNE
3、Authentication_REPLY
授權:
4、Authorization_REQUEST
5、Authorization_RESPONSE
計費:
6、Accounting_REQUEST
7、Accounting_REPLY
認證、授權與記賬
儘管RADIUS在用戶配置檔案中集成了認證和授權,TACACS+分離了這兩種操作,另外的不同在於TACACS+使用傳輸控制協定(TCP)而RADIUS使用用戶報文協定(UDP).多數管理員建議使用TACACS+,因為TCP被認為是更可靠的協定。
TACACS+協定的擴展為最初的協定規範提供了更多的認證請求類型和更多的回響代碼。
協定細節
TACACS+ 使用TCP連線埠49,包括三種獨立的協定,如果需要,能夠在獨立的伺服器上實現。
TACACS+提供了多協定支持,如IP和AppleTalk.一般操作都對數據包進行全部加密,以提供更安全的通信,這是一個Cisco對最初的TACACS協定提供的專有的改進。
TACACS+ 操作中使用APPLETALK和 NETBIOS.