TACACS +和RADIUS比较(全).doc

TACACS +和RADIUS比较 用于的二个突出的安全 协议控制访问到是Cisco TACACS+和RADIUS。RADIUS规格 在 描述 ，废弃 。 Cisco做支持两个协议与最佳组提供。它不是Cisco的 目的与RADIUS竞争或影响用户使用TACACS+ 。您应该选择最 将好达到需要的解决方案。本文讨论在TACACS+和RADIUS的之 间区别，因此您能使一个通告选择做出。 Cisco从 Cisco IOS软件版本11.1支持? RADIUS协议在1996年2 月。Cisco继续提高RADIUS客户端带有新功能和功能，支持 RADIUS 作为标准。 Cisco严重评估了 RADIUS作为安全协议在开发TACACS+之前。许多功能在 TACACS+协议包括适应增长的安全市场的需要。协议设计扩展 当增长和适应新的安全技术当市场成熟。TACACS+协议的 底层体系结构补全独立验证、授权和记帐(AAA)体系结构。 RADIUS是使用AAA协议的接入服务器。 它是获 取对和服务的远程访问未被授权的访问分布式安全的系统 。RADIUS 包括三个组件： 一 个协议带有使用用户数据协议的帧格式(UDP)/IP 一个服务器 一个客户 端 而客户端在拨号接入服务器驻留并 且可以被分配在过程中，服务器在一台中央计算机典型地运行 在用户站点。Cisco合并RADIUS客户端到Cisco IOS软件版本 11.1以上和其他设备软件里。 网络接入服务器(NAS)运 行作为RADIUS的客户端。客户端负责通过用户信息对指定的 RADIUS服务器，然后操作在返回的回应。 RADIUS服务器负责 对收到用户连接请求，验证用户，然后返回所有配置信息必要为客 户端提供服务到用户。RADIUS服务器能作为代理客户端到其 他认证服务器。 安全 处理在客户端和RADIUS 服务器之间通过使用分享秘密验证，在从未被发送。 另 外，发送所有用户密码被加密在客户端和RADIUS服务器之间，排除 监听在一个不安全的的某人可能确定用户密码的可能性。 RADIUS服务器支 持各种各样的方法验证用户。当它带有用户时和原始密码产 生的用户名，可以支持、密码验证协议(PAP) 或者质询握手验 证协议(CHAP)、UNIX登录和其他认证机制。 商业和自由地有服务器 编码的一定数量的分配可用。Cisco服务器包括 Cisco Secure ACS 版、Cisco Secure ACS UNIX版和Cisco 访问注册。 以 下部分比较TACACS+和RADIUS几个功能。 当TACACS+使用TCP时 ，RADIUS使用UDP。 TCP提供几个优点胜过UDP。而UDP 提供最佳效果发送，TCP提供面向连接的传输。 RADIUS要求 另外的可编程变量例如转播企图和超时补尝尽力而为传输，但缺乏 TCP传输提供内置支持的级别： 使用 TCP如何提供单独确认请求收到了，在(近似)往返时间(RTT之内 )不管装载并且减慢后端验证机制(TCP应答)也许是。 TCP提供一失败或者不的立即指示，服务器由重置 (RST负责操行)。您能确定当服务器失效并且回到服务时如果 使用长寿命的TCP连接。UDP不能说出发生故障的服务器，一 个慢速服务器和一个不存在的服务器的之间差别。 使用TCP Keepalive，服务器失败可以被发现带外带 有实际请求。与多个服务器的连接可以同时被维护，并且您 只需要寄发消息到那个被知道是正在运行的。 TCP是更加可升级的并且适应生长，并且拥塞， 。 RADIUS在访问请求信 息包加密仅密码，从客户端到服务器。信息包的剩下的事末 加密。其他信息，例如用户名，核准的服务和认为，能由第 三方捕获。 TACACS+加密信息包但分 支的整个机体一个标准的TACACS+头。在头之内指示的字段机 体不论是否被加密。为调试目的，它是有用的有信息包的机 体末加密。然而，在正常运行期间，信息包的机体为安全通 信充分地被加密。 RADIUS结合认证和授权。RADIUS服务器发送的 访问接受信息包到客户端包含授权信息。这使它难分离认证 和授权。 TACACS+使用AAA体系结构， 分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。 例如，带有TACACS+， 使用Kerberos认证和TACACS+ 授权和记帐是可能的。在NAS在 Kerberos 服务器之后验证，请求授权信息从TACACS+服务器没有必 须重新鉴别。NAS通知TACACS+服务器在Kerberos服务器成功 验证，并且服务器然后提供授权信息。 在会话期间，如果另外特许检查是需要的，接入服务 器检查以TACACS+服