TACACS+和RADIUS比较.docVIP

TACACS+和RADIUS比较 TACACS+ TACACS+是一种客户机/服务器协议，其中TACACS+客户机一般是一个NAS，而TACACS+服务器则是一个运行于某些UNIX或NT装置上的daemon程序。TACACS+设计的一个基本要素是鉴别、授权和记帐(AAA)。它允许任意长度和内容鉴别交换，使TACACS+客户机可采取任何鉴别方案。其中包括PPP-PAP-PPP CHAP、令牌卡及Kerberos。鉴别不是强制性的，可由站点自行配置。有些站点不需要，而有些站点只在某些业务上需要它。TACACS+中，授权不仅回答是否允许，而且还为某些用户定制这种业务。需进行授权的情况包括：当用户首次登录并想建立自己的保护空间；或者用户起用PPP，并希望通过一个特定的IP地址使用PPP上的IP。TACACS+服务器daemon可通过以下方法对这些申请做出响应：提供业务，但在登录地段设定时限，或要求PPP连接上有IP 记帐是鉴别和授权之后的第三步。记帐是记录一个用户正在做了或已经做了什么的行为。TACACS+中的记帐功能有助于达到以下两个目的：可为所用的业务记帐，比如在结算时用；也可用作安全业务的审查工具。为此，TACACS+ 支持三种类型的记帐记录。起始记录指明某业务即将开始；终止记录指明某业务刚结束；而更新记录则是指明某业务仍在进行之中的中间通知。TACACS+记帐记录包括授权记录所用的全部信息，也包括记帐专用信息如起始、终止时间（若需要时）及资源使用情况信息。 TACACS+ 客户机和TACACS+服务器之间的业务通过使用共享秘密进行鉴别，该秘密从不在网络上发送。一般它被人工配置在这两个实体中。TACACS+可以被配置用来对TACACS+客户机和TACACS＋服务器daemon之间的所有业务进行加密。RADIUS RADIUS是Livingston Enterprises 公司开发的接入服务器鉴别和记帐协议。1996年6月，RADIUS5IETF。RADIUS规格(RFC 2058)和RADIUS记帐标准(RFC 2059)是目前待议的标准协议。NAS与RADIUS服务器之间的通信基于UDP。RADIUS协议一般被认为是一种无连接业务。与服务器可用性、转发性及停机有关的问题由RADIUS的装置而不是由传输协议处理。RADIUS是一种客户机/服务器协议，其中RADIUS客户机一般为NAS，而RADIUS服务器则是运行于某些UMX或NT机器上的daemon程序。客户机负责向指定的RADLUS服务器发送用户信息，然后根据返回的答复作出反应。RADDIUS服务器负责接收用户连接申请，鉴别用户，并返回客户机为用户提供业务所需要的全部配置信息。RADIUS服务器RADIUS服务器可作为到其它RADIUS服务器或其他种类鉴别服务器的代理客户机。RADIUS服务器可支持各种方法来鉴别用户。它向提供用户所给的用户名及原始口令时它可支持PPP或CHAP、UNIX登录及其他鉴别机制。一般来说，用户登陆包括NAS发往RADIUS服务器的询问（接入申请）和服务器发回的相应答复（接入允许或接入拒绝）。接入申请数据包括用户名、加密口令、NAS IP地址及端口。申请格式(format)还提供有关用户希望接通的会话类型信息。例如，如果询问以字符模式表示，则推理为“业务类型＝Exec-User”，但若申请以PPP数据包模式表示，则推理的“业务类型＝Framed User”和“Framed Type=PPP”。 RADIUS服务器接收到NAS发送的接入申请后它在数据库中搜寻所列的用户名。如果数据库中不存在这一用户名，则装载一个缺省轮廊或RADIUS服务器立即发送一个接入拒绝信息。与该接入拒绝信息可能一起发出一条可选明文信息，该信息可说明拒绝接入的原因。 在RADIUS中，鉴别和授权是结合在一起的。若在数据库中搜寻到该用户名而且口令正确，则RADIUS服务器发出允许接入的答复，其中包括一组描述这一会话所需参数的属性值对。这些参数一般包括业务类型（封闭式或框架式）、协议类型、分配给用户的IP地址（静态或动态）、使用的接入表或欲设置在NAS路由选择表中的静态路由。RADIUS服务器中的配置信息规定将安装在NAS上的设备。RADIUS协议的记帐特性可独立于RADIUS鉴别和授权使用。RADIUS记帐功能允许数据在会话开始、结束时Internet服务供应商(ISP)可使用RADIUS接入控制和记帐软件来满足安全性和结算的特殊要求。客户机和RADIUS业务器之间的业务通过使用共享秘密进行鉴别，该秘密从不在网上发送。此RADIUS服务器之间发送时经过加密，从而消除了一个非保密网络上的窃听者获悉用户口令的可能性。TACACS+ 和RADIUS的比较 下