TACACS+和RADIUS这两种协议间的差异
其实理解TACACS+和RADIUS这两种协议间的差异非常重要。TACACS+的关键因素包括不兼容TACACS和KTACACS认证和权分离加密所有通信使用TCP端端口49RADIUS的关键因素包括:使用RADIUS代理服务器提供可扩展性将RADIUS认证和授权结合成一个过程只加密密码;使用UD支持远程访问技术、802.1X和SIP。
TACACS+是Cisco对原始TACACS协议的增强。事实上,TACACS+是一个全新的协议,不兼容之前的任何TACACS版本。TACACS+得到CiCo路由器和接入服务器系列产品的支持。TACACS+提供单独的AA服务。
将AAA服务分离出来提供了实现时的灵活性,因为这样就有可能在使用TACACS+进行授权和记账,同日时使用另一种方法进行认证。对TACACS+协议的扩展提供了比原始TACACS规范更多的认证请求类型和响应码。
TACACS+提供多协议支持,例如P和Appletalk。正常的TACACS+操作加密整个数据包以提供更安全的通信,并使用TCP端口49LivingstonEnterprises开发的RADIUS是一项开放的IETF标准AAA协议,用于网络接入或P移动性等应用。
RADIUS可以在本地和漫游状态下工作,通常用于记账目的。RADIUS目前在RFC28652866、2867和2868中定义。RADIUS协议使用一个相当复杂的操作(涉及消息摘要5MD5放列和一个共享密钥)在传输过程中隐藏口令,甚至使用口令认证协议(PasswordAuthenticationProtocol,PAP),但数据包的其余部分以明文形式发送。RADIUS将认证和授权结合为一个过程。
当一个用户被认证时,该用户也就被授权。RADIUS使用UDP端口1645或1812认证,使用UDP端口1646或1813记账。RADIUS被VoIP服务提供商广泛使用。它将一个会话发起协议(SessionInitiationProtocol,SIP)的端点(例如一个宽带电话)的登录证书使用摘要认证发给一个SIP注册器,然后使用RADIUS发给个RADIUS服务器。RADIUS也是8021X安全标准所使用的一种通用认证协议。
其实,我们应该知道的是Diameter协议被计划用来替代RADIUS。Diameter使用一种名为流控传输协议的新传输协议,并且使用TCP而非UDP封装。