RADIUS (Remote Authentication in Dial-In User Service) - открытый AAA-протокол. Рассмотрим ключевые характеристики данного протокола:
1) В качестве транспортного протокола используется UDP. Для аутентификации порт 1812 (ранее 1645), а для учета - 1813 (ранее 1646).
2) При взаимодействии между ААА-сервером и ААА-клиентом, протокол шифрует только пароль. Остальные данные передается в открытом виде.
3) Аутентификация и авторизация являются единым процессом. Как только пользователь проходит аутентификацию, он тут же, автоматически проходит авторизацию и получает соответствующий ему уровень привилегий (возможность выполнять ту или иную команду). После этого, пользователь волен делать все, что ему разрешено в рамках своих привилегий.
4) Имеет очень детальный процесс учета (accounting).
5) Открытый протокол (open source).
Ярким представителем данного протокола является FreeRADIUS - AAA-сервер с открытым исходным кодом. Также может быть интересна реализация этого протокола с графическим интерфейсом - daloRADIUS.
1.3.2 TACACS+
TACACS+ (Terminal Access Controller Access Control System). Произносится как ТА-КАКС плюс. Это проприетарная разработка компании Cisco и является более усовершенствованным вариантом более старого протокола TACACS. Иногда можно услышать слово TACACS без приставки “+”. Можете быть уверены, что на самом деле речь идет именно о TACACS+, поскольку протокол TACACS уже практически не используется. Основные отличия:
1) В качестве транспортного протокола используется TCP (порт 49), что конечно же медленнее, чем UDP у RADIUS.
2) Протокол шифрует все данные между AAA-сервером и AAA-клиентом.
3) Процессы аутентификации и авторизации абсолютно независимы. Это позволяет выполнять авторизацию каждой команды, которую вводит пользователь. Таким образом мы получаем более гибкий контроль всех действий.
4) Проприетарный протокол (т.е. закрытый).
Самый известный TACACS+ сервер - Cisco Secure Access Control Server (ACS). Это также проприетарная разработка компании Cisco. Продукт платный, но имеется demo период (возможность бесплатного тестирования).
1.3.3 RADIUS vs TACACS+
Какой же протокол выбрать для своей сети? Для удобства я вынес в табличку основные характеристики этих протоколов:
Ответ как всегда зависит от каждой конкретной задачи.
Есть мнение, что у RADIUS гораздо лучше выполнен учет (accounting). Однако, лично в моей практике, не было таких случаев, когда данное преимущество играло важную роль (хотя для Интернет провайдеров это очень критично). А вот авторизация каждой команды, это действительно важное отличие и здесь TACACS выигрывает. RADIUS чаще всего используется для аутентификации удаленных пользователей, т.е. VPN подключений, либо для WiFi пользователей. Также RADIUS сервер встречается в сети любого Интернет провайдера, где нужно аутентифицировать сотни и тысячи пользователей. TACACS же чаще всего применяется для аутентификации и авторизации администраторов на сетевых устройствах. Опять же, данный выбор обусловлен более гибкой авторизацией, когда можно проверять буквально каждую команду. При этом RADIUS поддерживается практически любым сетевым оборудованием, чего не скажешь о TACACS.
Данные протоколы весьма часто используются совместно, распределяя задачи. Руководствуясь личным опытом, могу дать следующий совет:
Для аутентификации VPN-пользователей и WiFi-клиентов используйте RADIUS. Для аутентификации и авторизации администраторов на сетевом оборудовании - TACACS+.
0 коммент.:
Отправить комментарий