logo
Протокол TACASC+

Сравнение протоколов TACACS+ и RADIUS

А теперь хотелось бы поподробнее сравнить возможности протоколов TACACS+ и RADIUS.

Протокол RADIUS (Remote Authentication Dial In User Service), в отличие от TACACS+, был разработан независимой группой разработчиков (на данный момент протокол не модифицируется) и поэтому получил широкое распространение у сторонних разработчиков.

Как правило, все производители программных и аппаратных клиентов поддерживают данный протокол.

Кратко о протоколе можно сказать следующее: использует в своей основе протокол UDP (а поэтому относительно быстр), процесс авторизации происходит в контексте процесса аутентификации (т.е. авторизация как таковая отсутствует), реализация RADIUS-сервера ориентирована на однопроцессное обслуживание клиентов (хотя возможно многопроцессное - вопрос до сих пор открытый), поддерживает довольно ограниченное число типов аутентификации (Clear text и CHAP), имеет среднюю степень защищености.

Приведем сравнительную таблицу возможностей обоих протоколов:

RADIUS

TACACS+

Базовый протокол

UDP

TCP

Поддерживаемые сервисы

Autentication, Authorization

Authentication, Authorization, Accounting

Безопасность

Шифруется пароль

Шифруется все тело пакета

Протокол TACACS+ использует протокол TCP, т.е. он потенциально медленнее протокола RADIUS, но TACACS+ способен в каждый момент времени обслуживать несколько пользователей.

Radius шифрует только пароль в передаваемом пакете, при этом оставшаяся часть пакета (имя пользователя, авторизованные сервисы, информация учета) не зашифрована и доступна для захвата злоумышленником. TACACS+ шифрует все тело пакета. Таким образом, степень защищенности протокола TACACS+ выше, чем у RADIUS.

RADIUS поддерживает аутентификацию и авторизацию. TACACS+ использует архитектуру AAA (Authentication, Authorization, Accounting). Возможно выполнение аутентификации отдельно (например, на сервере Kerberos), а авторизации и учета - с использованием TACACS+.