Система управления доступом к контроллеру доступа к терминалу ( TACACS , / ˈ t æ k æ k s / ) относится к семейству связанных протоколов, обрабатывающих удаленную аутентификацию и связанные службы для управления сетевым доступом через централизованный сервер. Первоначальный протокол TACACS , который восходит к 1984 году, использовался для связи с сервером аутентификации, распространенным в старых сетях UNIX ; он породил связанные протоколы:
Первоначально TACACS был разработан в 1984 году компанией BBN Technologies для администрирования MILNET , который в то время управлял несекретным сетевым трафиком для DARPA и позже превратился в NIPRNet Министерства обороны США . Первоначально разработанный как средство для автоматизации аутентификации, позволяющее тому, кто уже вошел в один хост в сети, подключаться к другому в той же сети без необходимости повторной аутентификации, он был впервые официально описан Брайаном Андерсоном из BBN в декабре 1984 г. в IETF . RFC 927. [1] [2] Системы Cisco начала поддерживать TACACS в своих сетевых продуктах в конце 1980-х годов, в конечном итоге добавив к протоколу несколько расширений. В 1990 году расширения Cisco поверх TACACS стали проприетарным протоколом под названием Extended TACACS (XTACACS). Хотя TACACS и XTACACS не являются открытыми стандартами, Крейг Финсет из Миннесотского университета при содействии Cisco опубликовал описание протоколов в 1993 году в IETF RFC 1492 для информационных целей. [1] [3] [4]
TACACS определен в RFC 8907 (старый RFC 1492) и по умолчанию использует (либо TCP , либо UDP ) порт 49. TACACS позволяет клиенту принять имя пользователя и пароль и отправить запрос на сервер аутентификации TACACS, иногда называемый демоном TACACS или просто TACACSD. Он будет определять, следует ли принять или отклонить запрос аутентификации, и отправить ответ. TIP (узел маршрутизации, принимающий коммутируемые соединения, в которые пользователь обычно хочет войти) затем разрешал бы доступ или нет, в зависимости от ответа. Таким образом, процесс принятия решения «открыт», а алгоритмы и данные, используемые для принятия решения, находятся под полным контролем того, кто запускает демон TACACS.
XTACACS, что означает расширенный TACACS, предоставляет дополнительные функциональные возможности для протокола TACACS. Он также разделяет функции аутентификации, авторизации и учета (AAA) на отдельные процессы, позволяя даже обрабатывать их отдельными серверами и технологиями. [5]
TACACS+ и RADIUS обычно заменяют TACACS и XTACACS в недавно построенных или обновленных сетях. TACACS+ — это совершенно новый протокол, несовместимый со своими предшественниками, TACACS и XTACACS. TACACS+ использует TCP (в то время как RADIUS работает через UDP). [6]
Поскольку TCP является протоколом, ориентированным на соединение, TACACS+ должен осуществлять управление передачей. RADIUS, однако, не должен обнаруживать и исправлять ошибки передачи, такие как потеря пакетов , тайм-аут и т. д., поскольку он использует UDP без установления соединения . RADIUS шифрует только пароль пользователя при его передаче от клиента RADIUS к серверу RADIUS. Вся остальная информация, такая как имя пользователя, авторизация, учет, передаются открытым текстом. Поэтому он уязвим для различных типов атак. TACACS+ шифрует всю упомянутую выше информацию и поэтому не имеет уязвимостей, присутствующих в протоколе RADIUS.