TACACS

Terminal Access Controller Access-Control System ( TACACS , / ˈ t æ k æ k s / ) hänvisar till en familj av relaterade protokoll som hanterar fjärrautentisering och relaterade tjänster för nätverksåtkomstkontroll genom en centraliserad server. Det ursprungliga TACACS -protokollet, som går tillbaka till 1984, användes för att kommunicera med en autentiseringsserver, vanlig i äldre UNIX- nätverk inklusive men inte begränsat till ARPANET , MILNET och BBNNET. Det skapade relaterade protokoll:

Extended TACACS ( XTACACS ) är en egenutvecklad tillägg till TACACS som introducerades av Cisco Systems 1990 utan bakåtkompatibilitet med det ursprungliga protokollet. TACACS och XTACACS tillåter båda en fjärråtkomstserver att kommunicera med en autentiseringsserver för att avgöra om användaren har tillgång till nätverket.
TACACS Plus ( TACACS+ ) är ett protokoll som utvecklats av Cisco och släpptes som en öppen standard med början 1993. Även om det härstammar från TACACS är TACACS+ ett separat protokoll som hanterar autentiserings-, auktoriserings- och redovisningstjänster (AAA) . TACACS+ har i stort sett ersatt sina föregångare.

Historia

TACACS utvecklades ursprungligen 1984 av BBN, senare känd som BBN Technologies , för administration av ARPANET och MILNET, som körde oklassificerad nätverkstrafik för DARPA vid den tiden och senare skulle utvecklas till det amerikanska försvarsdepartementets NIPRNet . Ursprungligen utformad som ett sätt att automatisera autentisering – så att någon som redan var inloggad på en värd i nätverket kan ansluta till en annan på samma nätverk utan att behöva autentisera på nytt – det beskrevs först formellt av BBN:s Brian Anderson TAC Access Control System Protocols , BBN Tech Memo CC-0045 med mindre TELNET dubbelinloggning undvikande ändring i december 1984 i IETF RFC 927. Cisco Systems började stödja TACACS i sina nätverksprodukter i slutet av 1980-talet och lade så småningom till flera tillägg till protokollet. 1990 blev Ciscos tillägg ovanpå TACACS ett proprietärt protokoll som heter Extended TACACS (XTACACS). Även om TACACS och XTACACS inte är öppna standarder, publicerade Craig Finseth från University of Minnesota, med Ciscos hjälp, en beskrivning av protokollen 1993 som IETF RFC 1492 i informationssyfte.

Tekniska beskrivningar

TACACS

TACACS är definierat i RFC 8907 (äldre RFC 1492), och använder (antingen TCP eller UDP ) port 49 som standard. TACACS tillåter en klient att acceptera ett användarnamn och lösenord och skicka en fråga till en TACACS-autentiseringsserver, ibland kallad en TACACS-demon. Den avgör om autentiseringsbegäran ska accepteras eller nekas och skickar ett svar tillbaka. TIPS (routingnod som accepterar uppringda linjeanslutningar, som användaren normalt skulle vilja logga in på) skulle då tillåta åtkomst eller inte, baserat på svaret. På detta sätt "öppnas" processen för att fatta beslut och algoritmerna och data som används för att fatta beslutet är under fullständig kontroll av den som kör TACACS-demonen.

XTACACS

Utökad TACACS (XTACACS) utökar TACACS-protokollet med ytterligare funktionalitet. Den separerar också funktionerna för autentisering, auktorisering och redovisning (AAA) i separata processer, vilket gör att de kan hanteras av separata servrar och teknologier.

TACACS+

TACACS+ är ett Cisco-designat tillägg till TACACS som krypterar hela innehållet i varje paket. Dessutom ger den granulär kontroll i form av kommando-för-kommando-auktorisering.

TACACS+ har i allmänhet ersatt TACACS och XTACACS i mer nyligen byggda eller uppdaterade nätverk. TACACS+ är ett helt nytt protokoll som inte är kompatibelt med sina föregångare, TACACS och XTACACS. Eftersom TCP är ett anslutningsorienterat protokoll kan TACACS+ upptäcka och korrigera nätverksöverföringsfel.

Jämförelse med RADIUS

TACACS+ använder TCP (medan RADIUS fungerar över UDP).

Eftersom TCP är ett anslutningsorienterat protokoll måste TACACS+ implementera överföringskontroll. RADIUS krävs dock inte för att upptäcka och korrigera överföringsfel som paketförlust eller timeouts, etc., eftersom den använder sig av UDP som är anslutningslöst . RADIUS krypterar endast användarnas lösenord när det går från RADIUS-klienten till RADIUS-servern. All annan information som användarnamn, behörighet, bokföring överförs i klartext. Därför är den sårbar för olika typer av attacker. TACACS+ krypterar all information som nämns ovan och har därför inte de sårbarheter som finns i RADIUS-protokollet.

Genomföranden

Klientimplementationer

Arista EOS , en proprietär implementering
Cisco IOS , en proprietär implementering
Fortinet FortiOS , en proprietär implementering
Juniper Junos OS , en proprietär implementering
Palo Alto Networks PAN-OS , en proprietär implementering
Pam_tacplus , ett TACACS+-protokollklientbibliotek och PAM-modul

Serverimplementationer

FreeRADIUS TACACS+-modul , en öppen källkodsimplementering tillgänglig sedan version 4.0
Tac_plus av Shrubbery , en implementering med öppen källkod för Linux
Tac_plus-ng av Pro-Bono-Publico , en öppen källkodsimplementering för Linux
Tac_plus VM , tac_plus med en tillagd webbadmin i en virtuell dator (inte längre uppdaterad)
Aruba ClearPass Policy Manager , en proprietär implementering
Cisco Identity Services Engine , en proprietär implementering
Portnox TACACS+-as-a-Service , en proprietär implementering som en molnvärd tjänst
Pulse Secure Pulse Policy Secure, en proprietär implementering
TACACS.net , en proprietär implementering av TACACS+ för Windows

Standarddokument

RFC 927 – TACACS User Identification Telnet-alternativ
RFC 1492 – Ett åtkomstkontrollprotokoll, ibland kallat TACACS
RFC 8907 – Terminal Access Controller Access-Control System Plus (TACACS+) Protocol
RFC 9105 – En YANG-datamodell för Terminal Access Controller Access-Control System Plus (TACACS+)

Se även

externa länkar

En analys av TACACS+-protokollet och dess implementeringar ur säkerhetssynpunkt, av Openwall
TACACS+ fördelar och bästa praxis

Autentisering
API: er för autentisering	BSD-autentisering (BSD-autentisering) eAuthentication (eAuth) Generic Security Services API (GSSAPI) Java Authentication and Authorization Service (JAAS) Pluggbara autentiseringsmoduler (PAM) Enkel autentisering och säkerhetslager (SASL) Security Support Provider Interface (SSPI) XCert Universal Database API (XUDA)
Autentiseringsprotokoll _	ACF2 Autentisering och nyckelavtal (AKA) CAVE-baserad autentisering Challenge-Handshake Authentication Protocol (CHAP) MS-CHAP Central Authentication Service (CAS) CRAM-MD5 Diameter Extensible Authentication Protocol (EAP) Host Identity Protocol (HIP) IndieAuth Kerberos LAN Manager NT LAN Manager (NTLM) OAuth Öppet ID OpenID Connect (OIDC) Lösenordsautentiserade nyckelavtalsprotokoll Password Authentication Protocol (PAP) PEAP ( Protected Extensible Authentication Protocol ) Användartjänst för fjärråtkomst (RADIUS) Resource Access Control Facility (RACF) Secure Remote Password Protocol (SRP) TACACS Woo-Lam
Kategori Commons