TACACS+

TACACS+

TACACS+ (англ. Terminal Access Controller Access Control System plus) — сеансовый протокол, результат дальнейшего усовершенствования TACACS, предпринятого Cisco.

Улучшена безопасность протокола (шифрование), а также введено разделение функций аутентификации, авторизации и учёта, которые теперь можно использовать по отдельности.

TACACS+ использует понятия сеансов. В рамках TACACS+ возможно установление трёх различных типов сеансов AAA (англ. authentication, authorization, accounting). Установление одного типа сеанса в общем случае не требует предварительного успешного установления какого-либо другого. Спецификация протокола не требует для открытия сеанса authorization открыть сначала сеанс authentication. Сервер TACACS+ может потребовать authentication, но сам протокол этого не оговаривает.

Содержание

История

TACACS+ является протоколом последнего поколения из серии протоколов TACACS. TACACS — это простой протокол управления доступом, основанный на стандартах User Datagram Protocol (UDP) и разработанных компанией Bolt, Beranek and Newman, Inc. (BBN) для военной сети Military Network (MILNET).

Принцип работы

TACACS+ пользуется транспортным протоколом TCP. «Демон» сервера «слушает» порт 49, который является портом протокола TCP, выделенным для протокола TACACS. Этот порт зарезервирован для выделенных номеров RFC в протоколах UDP и TCP. Все текущие версии TACACS и расширенные варианты этого протокола используют порт 49.

Протокол TACACS+ работает по технологии клиент/сервер, где клиентом TACACS+ обычно является NAS, а сервером TACACS+, как правило, считается «демон». Фундаментальным структурным компонентом протокола TACACS+ является разделение аутентификации, авторизации и учёта (AAA — Authentication, Authorization, Accounting). Это позволяет обмениваться аутентификационными сообщениями любой длины и содержания, и, следовательно, использовать для клиентов TACACS+ любой аутентификационный механизм, в том числе PPP PAP, PPP CHAP, аппаратные карты и Kerberos. Аутентификация не является обязательной. Она рассматривается как опция, которая конфигурируется на месте.

Транзакции между клиентом TACACS+ и сервером TACACS+ идентифицируются с помощью общего «секрета», который никогда не передается по каналам связи. Обычно этот секрет вручную устанавливается на сервере и на клиенте. TACACS+ можно настроить на шифрование всего трафика, который передается между клиентом TACACS+ и демоном сервера TACACS+.

Аутентификация

В ходе аутентификации TACACS+ используются пакеты трех типов: START, CONTINUE и REPLY. START и CONTINUE всегда отправляются клиентом, а REPLY всегда отправляется сервером. Сообщение START описывает тип будущей аутентификации и может содержать имя пользователя и некоторые аутентификационные данные. Пакет START отправляется только в качестве первого сообщения аутентификационной сессии TACACS+ или сразу же после повторного запуска этой сессии. (Повторный запуск может проводиться по просьбе сервера, которая содержится в пакете REPLY.) Пакет START всегда имеет порядковый номер, равный единице. В ответ на пакет START сервер отправляет пакет REPLY. Сообщение REPLY указывает, завершилась ли аутентификация или ее следует продолжить. Если пакет REPLY требует продолжения аутентификации, он также указывает, какую дополнительную информацию ему нужно предоставить. Клиент собирает эту информацию и отправляет ее серверу в сообщении CONTINUE.

По завершении аутентификации клиент может начать процесс авторизации (если она требуется).

Авторизация

Сессия авторизации состоит из двух сообщений: сообщения REQUEST (запрос) и следующего за ним сообщения RESPONSE (ответ). Сообщение REQUEST содержит фиксированное количество полей, которые описывают пользователя или процесс, и переменный набор аргументов, которые описывают услуги и опции, требующие авторизации.

Аудит

Учет представляет собой запись действий пользователя. В системе TACACS+ учёт может выполнять две задачи. Во-первых, он может использоваться для учёта использованных услуг (например, для выставления счетов). Во-вторых, его можно использовать в целях безопасности. Для этого TACACS+ поддерживает три типа учётных записей. Записи «старт» указывают, что услуга должна быть запущена. Записи «стоп» говорят о том, что услуга только что окончилась. Записи «обновление» (update) являются промежуточными и указывают на то, что услуга все еще предоставляется. Учетные записи TACACS+ содержат всю информацию, которая используется в ходе авторизации, а также другие данные, такие как время начала и окончания (если это необходимо) и данные об использовании ресурсов.

См. также



Wikimedia Foundation. 2010.

Смотреть что такое "TACACS+" в других словарях:

  • TACACS — (англ. Terminal Access Controller Access Control System)  сеансовый протокол, использовавшийся на серверах доступа ARPANET. Центральный сервер, который принимает решение, разрешить или не разрешить определённому пользователю… …   Википедия

  • TACACS+ — (acrónimo de Terminal Access Controller Access Control System, en inglés ‘sistema de control de acceso del controlador de acceso a terminales’) es un protocolo de autenticación remota que se usa para gestionar el acceso (proporciona servicios… …   Wikipedia Español

  • TACACS — (acrónimo de Terminal Access Controller Access Control System , en inglés ‘sistema de control de acceso mediante control del acceso desde terminales’) es un protocolo de autenticación remota, propietario de cisco, que se usa para comunicarse con… …   Wikipedia Español

  • TACACS — Das Terminal Access Controller Access Control System (TACACS) ist ein in einzelnen Teilfassungen[1][2] von der IETF standardisiertes und ansonsten auch in anderen Fassungen (beispielsweise Cisco Systems TACACS+[3]) weit verbreitetes… …   Deutsch Wikipedia

  • TACACS+ — Das Terminal Access Controller Access Control System (TACACS) ist ein AAA Protokoll. Es dient der Client Server Kommunikation zwischen AAA Servern und einem Network Access Server (NAS). TACACS Server stellen eine zentrale… …   Deutsch Wikipedia

  • TACACS+ — In computer networking, TACACS+ (Terminal Access Controller Access Control System Plus) is a protocol which provides access control for routers, network access servers and other networked computing devices via one or more centralized servers.… …   Wikipedia

  • TACACS — Terminal Access Controller Access Control System (TACACS) is a remote authentication protocol that is used to communicate with an authentication server commonly used in UNIX networks. TACACS allows a remote access server to communicate with an… …   Wikipedia

  • TACACS+ — Terminal Access Controller Access Control System Plus TACACS+ (Terminal Access Controller Access Control System Plus) est un protocole permettant de fournir du contrôle d accès pour les routeurs, les accès réseaux et autres équipements réseaux… …   Wikipédia en Français

  • TACACS — Terminal Access Controller Access Control System Terminal Access Controller Access Control System (TACACS) est un protocole d authentification distante utilisé pour communiquer avec un serveur d authentification, généralement utilisé dans des… …   Wikipédia en Français

  • Tacacs — Terminal Access Controller Access Control System Terminal Access Controller Access Control System (TACACS) est un protocole d authentification distante utilisé pour communiquer avec un serveur d authentification, généralement utilisé dans des… …   Wikipédia en Français


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»