介紹
TACACS+ and RADIUS是兩種用來控制接入網絡的兩種安全協議。The RADIUS 在 RFC 2865 中描述，Cisco 對兩種協議都提供良好的支持。比較兩種協議的目的不是為了讓用戶去使用TACACS+。你應該根據實際的需求來決定到底使用哪種協議。.
RADIUS背景
RADIUS 是一種使用AAA協議的接入服務器。用來區分安全的遠程接入或者非授權的接入，RADIUS 包括三個組件：
使用UDP/IP的數據幀格式的協議
服務器端
客戶端
服務器端一般運行在中央計算機的客戶站點上，客戶端撥號接入服務器并被分配使用網絡，Cisco在the Cisco IOS Software Release 11.1 和后面的版本開始支持Radius 客戶端。
客戶端/服務器端模式
網絡接入服務器 (NAS) 作為RADIUS的客戶?？蛻舳素撠燀憫獋鬟f用戶的信息到RADIUS服務器，并且根據RADIUS服務器的響應，進行下一步的動作。RADIUS 服務器響應收到的用戶連接，認證用戶請求，并返回必要的信息到客戶端。RADIUS 服務器也能作為客戶端的代理到其他的認證服務器。
網絡上的安全
客戶端和RADIUS服務器之間的通信是經過預先分配的密碼進行認證的，這些密碼不會發送到網絡上。此外，任何客戶端和RADIUS服務器的用戶密碼是經過加密發送的，這些密碼不會被不安全的網絡的某些人探測到。
靈活的認證機制
RADIUS服務器支持多種用戶的認證機制。若要提供的是用戶的用戶名和密碼，RADIUS支持PPP， Password Authentication Protocol (PAP), 或者Challenge Handshake Authentication Protocol (CHAP)，UNIX 登錄，或其他的認證機制。
可用的服務端
RADIUS存在許多不同的商業或者免費的服務端。Cisco 的RADIUS服務端包括Cisco Secure ACS for Windows，Cisco Secure ACS for UNIX，and Cisco Access Registrar.
比較TACACS+和RADIUS
本章節比較了TACACS+和RADIUS的一些特性
UDP 和 TCP
RADIUS 使用UDP端口而TACACS+使用TCP端口。TCP比UDP提供了額外的高級的特性。TCP提供的是[size=2]可靠的[/size]傳輸，而UDP則是[size=2]盡力服務。[/size]RADIUS要求額外的其他程序像“重傳請求”和“超時”來彌補盡力服務傳輸的不足。但是它缺乏像TCP傳輸那種內置的支持：
TCP 對于收到的請求提供了單獨的確認機制。只要這個請求在一個適當的網絡往返時延內，無論負載多少，這個認證機制都會進行。
TCP 提供了即使的差錯檢測，并且進行重置（RST），你能夠憑此迅速的發現long-lived TCP連接差錯。而UDP則不會告訴你服務已經中斷，緩慢或者不存在了。
TCP能夠保持存活，對于實際請求的服務中斷也能夠檢測到。連接的多個服務能夠保持同步。并且你只需要發送消息到你要查詢的那個服務。
TCP具有良好的擴展性和適應性，包括網絡擁塞。
數據包的加密
RADIUS僅僅加密客戶端發送到服務器端的access-request的數據包的密碼。而剩下的數據包都是不加密的。其他的信息像用戶名，授權服務，記賬服務都能被第三方截獲。
TACACS+ 加密數據包的整體而只留下標準的TACACS+ 的頭部。而包頭中有一個區域會指示數據包是否加密。如果要進行debugging，數據包也能夠不加密。一般情況下，整個數據報都會因為安全而進行加密。
認證和授權
RADIUS包括了認證和授權，RADIUS服務器發送到客戶端的access-accept packets的數據包包括了授權信息。這使他很難結合認證和授權。
TACACS+ 使用AAA構架，使他能夠分離AAA服務。這使TACACS+能夠分理認證解決方案，只使用TACACS+的授權和記賬功能。例如，使用Kerberos的認證，TACACS+的授權和記賬。當一個NAS在Kerberos服務器上進行認證后，它可以直接到TACACS+服務器上請求授權，和不用再進行認證了。NAS會通知TACACS+服務器，它已經再Kerberos服務器上認證成功了，TACACS+服務器便會提供授權信息。
在一個會話中，如果要進行額外的授權，接入服務器會檢查TACACS+服務器來判斷用戶是否獲得了足夠的權利去使用某條命令。這樣能夠在接入服務器上對使用的命令提供了很好的控制，簡化了認證的機制。
多協議支持
RADIUS 不支持下面的協議：
AppleTalk Remote Access (ARA) protocol
NetBIOS Frame Protocol Control protocol
Novell Asynchronous Services Interface (NASI)
X.25 PAD connection
TACACS+ 提供多協議的支持。
管理路由器
RADIUS 不允許用戶控制哪條命令能在路由器上運行，哪條不能。因此RADIUS對于管理路由器或者其他終端服務來說沒用。
TACACS+ 支持兩種方式來對路由器能夠使用的命令來進行授權，一種是對單用戶的，另一種是對一個組的。第一種方式是先為命令分配優先級，路由器再到TACACS+服務器上認證某個用戶是否屬于某個命令優先級。第二種方式是在TACACS+服務器上明確指明對于用戶或者某個用戶組，允許使用哪些命令。
兼容性
由于不同的RFC對于RADIUS的解釋不同， 所以即使遵守RADIUS RFC對兼容性也不能保證。盡管不同的廠商都實施RADIUS客戶端標準，當并不意味著他們之間是兼容的。Cisco 使用了絕大部分的的RADIUS屬性，將來還會不斷增長。如果用戶在他們的服務中僅僅使用標準的RADIUS屬性，那么不同的廠商間的這些相同的屬性就能夠兼容。然而，許多廠商擴展了他們自己的屬性，如果用戶使用了這些廠商的擴展屬性，那么就不能兼容了。
通信
因為上文中區分了TACACS+和RADIUS的不同性，客戶端和服務器之間的通信。下面的例子描述了使用TACACS+，RADIUS來管理路由器的認證，像授權，命令授權（RADIUS不行），記賬等，客戶端和服務器之間的通信。
TACACS+ 通信
下面的例子進行了登陸認證，授權，使用TACACS+對用戶Telnet到路由器的命令開始和停止記賬，最后退出路由器：

RADIUS 通信

下面的例子進行了登陸認證，授權，并對用戶Telnet到路由器，運行命令進行開始和停止記賬，最后退出路由器（其他的管理服務對于RADIUS來說不允許）：

設備支持

下表列出了TACACS+ 和RADIUS AAA?支持的設備和平臺。 Cisco Device TACACS+ authentication TACACS+ authorization TACACS+ accounting RADIUS authentication RADIUS authorization RADIUS accounting

Cisco Aironet1	12.2(4)JA	12.2(4)JA	12.2(4)JA	all Access-points	all Access-points	all Access-points
Cisco IOS Software2	10.33	10.33	10.333	11.1.1	11.1.14	11.1.15
Cisco Cache Engine	--	--	--	1.5	1.56	--
Cisco Catalyst switches	2.2	5.4.1	5.4.1	5.1	5.4.14	5.4.15
Cisco CSS 11000 Content Services Switch	5.03	5.03	5.03	5.0	5.04	--
Cisco CSS 11500 Content Services Switch	5.20	5.20	5.20	5.20	5.204	--
Cisco PIX Firewall	4.0	4.07	4.28,5	4.0	5.27	4.28,5
Cisco Catalyst 1900/2820 switches	8.x enterprise9	--	--	--	--	--
Cisco Catalyst 2900XL/3500XL switches	11.2.(8)SA610	11.2.(8)SA610	11.2.(8)SA610	12.0(5)WC511	12.0(5)WC511, 4	12.0(5)WC511, 5
Cisco ××× 3000 Concentrator 6	3.0	3.0	--	2.012	2.0	2.012
Cisco ××× 5000 Concentrator	--	--	--	5.2X12	5.2X12	5.2X12

轉載于:https://blog.51cto.com/loguis/158151

總結

以上是生活随笔為你收集整理的TACACS +和RADIUS比较的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。