TACACS+与RADIUS的比较

TACACS+与RADIUS的比较

产品与技术

T C C+与 R D US的比较 AA S A I肖智

摘

要

TACAC+与 RAD US是网络的认证服务 S I

客户端与 R I AD US服务器之间的数据传送是通过一个共同的密钥来认证的，密钥不在网络中传输，何用户的此任

器，由于两者实现的功能类似，本文介绍了两者的异同，旨在解决网络认证服务器选型及使用的问题。 关键词一

密码是通过密钥加密后在网络中传输的，防止有人在网络中通过抓包的方式获得用户密码等重要信息。

TAC S R I, AC+, AD US认证服务器，证，权 认授

、

引言

3方便的认证机制 RADI US服务器支持多种方式认证用户，当利用用户名和密码来认证用户时，能支持 P P P P AP或 C HAP, UNI登陆及其他认证机制。 X

在大型访问服务的网络中，需要有专门的协议来认证、

授权及审计用户，最著名的控制协议有 Cso的 icT AC+和 Lvn so ne pie的 RADI两个， AC S iigtn E tr r s US 在 C so的产品中同时支持两个协议，文通过比较两种协 i c本议，在通过对协议的分析比较，出两种协议的相同点和旨找不同点，而能够选择适合自己网络的最佳方案。从 Cso的 1 S从 19年 2月发布的 1 .的版本开始支 i c 0 96 11

4服务器代码 目前有多种发布的商用及免费的服务器软件， i. C so公 r司的软件包括 C so号 S c r S frW id ws Cso i. r eu e AC o n o, i. rS c r NI及 Ci. c s gsr r eu e U X so Ace s Re ita . r

持 R ADI, US并且不断地增强其功能及特性，为标准来支持作R I,时 Cso也在不断发展 T AC+, AC AD US同 i c AC S其 S服务 器软件就是同时实现了两种协议的服务器例子。 Cso在开发 TAC S ic AC+之前对 RAD US作了详尽的 I分析， TAC S之中增加了很多特性，适应网络的拨 在 AC+以入和安全方面的扩展性，且独立于 AAA体系。并

三， ACACS

和 RADI T+ US的比较下面对 TAC S和 RAD US的各种特性作一比较 . AC+ I1UDP和 TCP

RADI US使用 UD然而 TAC S使用 TC P AC+ P. TC提供比 UD P P更多的高级特性， P是面向连接的可 TC

靠的传输服务， UDP只提供最优的传输，但因而 RADI US需要额外的代码来实现例如重传、时等机制，有这些在超所

二、 RADI US背景RADI是 Lvn so n ep ss公司开发的使访 US i ig tn E tr r e i

TC P中已是固有的特性： TC对每个请求给予独立的应答，响应时间大约是 P网络的 R v,不管认认证或网络的负荷。 1r而 TC可以通过 RS包来立即确认服务器宕机或没 P T

问服务器用来认证、权和审计的协议，授用于防止远程用户非授权访问， RAD US由三部分组成： I

建立在 UP I D/P上的帧协议 服务器

有运行，客户端能确定什么时候服务器宕机或重新恢复服务， UD不能确定服务器是处于宕机或是响应慢或服务但 P不存在。

客户端 RADI US服务器一般集中在网络的中心，而客户端则分布在整个网络，1,

通过 T P的存活机制 ( C￣ av s,务器的宕机 C T Pl￣ l e)服 i可以通过带外的机制得以确认，且可能维持与多个服务器的并连接，于认证的请求只发给确认是工作正常的服务器。对 +TC P更具网络的扩充性，能适应拥塞的网络。并2,

客户服务器模式

网络访问服务器 ( NAS) RADI是 US的客户端，客户此端负责传递用户的信息到 RAD US服务器，并执行服务器 I

返回的响应， RADI US服务器负责接收用户的连接请求，认证用户，并且返回所有必要的为此用户获得服务所需的信息，并且 RADI US服务器还可作为一个其他认证服务器的代理客户。2、

数据包加密

RAD US仅对密码本身进行加密，而对客户端与服务 I器通信的其他部分并没有进行加密传输，是明文的，用而如户名，权访问的服务内容，记信息等均是明

文传输的。授审这此信息可能通过第三方软件捕获。

网络安全

宽带世界

20年 8 03月

一 7— 3

TACACS+与RADIUS的比较

产品与技术TAC S对整个数据包进行加密，仅留下 AC￣ T ACS的数据包头，在数据包头中仅表示该数据包是 AC￣加密的还是未加密的，示未加密的数据包一般仅用来调试 表用，一般的应用中则是加密的，而 TAC S对整个数 而因 AC+用，是很多厂商扩展了其中的属性，果用户使用了其私但如有的属性，用就变得不可能了。互7,

数据流

由于 T AC AC+与 RADI S US机制的不同，产生的数其

据包加密保证了客户端与服务器之间的通信的安全性。3,

据流自然不一样，下面的例子介绍在路由器管理时客户端与服务器端所进行的认证和授权的全过程。( ) AC 1T AC+数据流例子 S

认证和授权

RAD US包含了认证和授权， I RADI US发回的访问允许的确认包包括认证和授权的信息，使得无法将认证和授这权分开。

下面的例子假设使用 l i证， e权，a t s p的 o n认 g e c授 x s r- t t o审计，户 tle到路由器，行一条命令之后退出路由器。用 e t n执

T AC AC+ S 使用 AAA

(u h n ct n, a te t a o i i

( ) RADI数据流的例子 2 US

a t o i t n和 ac u t g体制，种机制下认证、权 uh r ai, z o co ni ) n这授与审记是分开的。这使得使用不同的机制实现认证和授权成为可能，例如，可以使用 Keb rs来作认证，而用 r eo T AC+来进行授权和审计，当 NAS通过 K re o AC S eb rs的认证之后，请求 T AC+服务器授权，而不用再认证， AC S NAS通知 T AC+客户已能通过 Keb rs服务器的认 AC S r eo证，时 T AC￣服务器则提供授权信息。这 AC S 在一个客户的会话期间，如果需要额外的授权检查， NAS服务器会与 T AC+服务器交互以确定用户是否 AC S能进行某个特殊的命令，提供了更好的对用户的控制。这4,

下面

是与 TAC S AC+相同的例子，但管理路由器的服务不存在。

三、结小

T^c■ S■暇

多协议支持

RADI US不支持如下协议：

Ap lT l远程访问协议 ( pe ak ARA)

Ne O帧协议控制 tBI S N v U异步服务接口( oe NAs) I X .5 P 2 AD连接 TACAC￣提供多协议的支持 S5,

路由器管理

RAD US无法控制用户可以在路由器上运行哪些命令 I或不能运行哪些命令，以，所 RADI US不适合用于通过终端

服务来管理路由器。TAC S提供一种机制来精确到每个用户或用户组 AC￣对路由器命令的控制，种方法是对每个用户分配一个特权 一级别 (以是 0- 5级 ),过 TAC可 _1通 ACS来确认用户处于 ￣什么级别的权力，一种方法是利用 TACAC+,对每一 另 S针个用户，许或不允许使用某个命令。允6,

互用性

本文在通过对 RADI与 T AC+的比较，而为 US AC S从‘选择合适的认证系统提供依据，于已有的 RADI对 US系统， 最好沿有 RADI如果是新建的认证系统， T AC+ US,则 AC S 提供更多的特性及便利性。■

RADI标准并不能保证互用性，甚至不同厂商的客 US户端也不能保证能互用， RAD US标准定义了大约 4 I 5个属性， C so实现了绝大多数属性并增加了更多属性，果只 i c如在服务器上使用标准的属性，则不同厂商的客户端能够互

—

—

7— 4—

宽带世界

2 0年 8月 03

本文来源：https://www.bwwdw.com/article/cpa1.html