TACACS vs RADIUS

Материал из OSZone.net wiki.

Перейти к: навигация, поиск

Сравнение TACACS+ и RADIUS

Хотя TACACS+ и RADIUS очень похожи по своим функциональным возможностям, они имеют несколько важных отличий, указанных в табл. 1.

Функциональные возможности TACACS+ RADIUS
Поддержка AAA Разделение трех сервисов AAA Аутентификация и авторизация объединяются, а аудит отделяется
Транспортный протокол TCP UDP
Вызов/ответ Двунаправленный Однонаправленный
Поддержка протоколов Полная поддержка Отсутствует поддержка NetBEUI
Целостность данных Шифруется весь пакет TACACS+ Шифруются только пароли пользователей
Таблица 1. Сравнение TACACS+ и RADIUS


  • Функциональные возможности. TACACS+ разделяет функции AAA в соответствии с архитектурой AAA, тем самым обеспечивая модульность реализации сервера защиты. RADIUS объединяет аутентификацию и авторизацию, а аудит рассматривается отдельно, что означает меньшую гибкость реализации.
  • Транспортный протокол. Использование протокола UDP для RADIUS (вместо TCP, как в TACACS+) было выбрано с целью упрощения реализации клиента и сервера. Но это делает протокол RADIUS менее устойчивым и требует дополнительных мер надежности от сервера (ретрансляцииии пакетов и использования ограничений по времени, вместо того чтобы полагаться на протокол 4-го уровня (транспортный уровень в модели OSI)).
  • Вызов/ответ. TACACS+ поддерживает двунаправленный поток вызовов/ответов между серверами сетевого доступа подобно тому, как это сделано в CHAP. RADIUS поддерживает однонаправленный вызов/ответ от сервера защиты RADIUS к клиенту RADIUS
  • Поддержка протоколов. TACACS+ обеспечивает более полную поддержку протоколов удаленного и межсетевого доступа.
  • Целостность данных. TACACS+ предполагает шифрование содержимого пакетов. RADIUS предусматривает шифрование только атрибутов пароля в пакете Access-Request. Это означает лучшую защищенность TACACS+.


Кроме того, сравнивая TACACS+ и RADIUS, можно отметить следующее.

  • Возможности настройки. Гибкость протокола TACACS+ обеспечивает возможность настройки множества параметров в соответствии с требованиями отдельных пользователей (например, настройка запроса имени пользователя и пароля) Из-за недостаточной гибкости RADIUS многие возможности, доступные в рамках TACACS+, при использовании RADIUS недоступны (например, каталоги сообщений). С другой стороны, RADIUS поддерживает возможность изменения наборов пар "атрибут/значение".
  • Процесс авторизации. При использовании TACACS+ сервер принимает или отвергает запрос аутентификации на основании данных пользовательского профиля. Клиенту (серверу сетевого доступа) содержимое пользовательского профиля остается неизвестным. В системе RADIUS все посылаемые с ответом атрибуты пользовательского профиля передаются серверу сетевого доступа Сервер сетевого доступа принимает или отвергает запрос аутентификации на основании полученных им значений атрибутов.
  • Аудит. Аудит TACACS+ предполагает использование ограниченного числа информационных полей. Аудит RADIUS может предоставить больше информации, чем можно получить из записей аудита TACACS+, что является главным преимуществом RADIUS в сравнении с TACACS+.
Получено с http://wiki.oszone.net/index.php/TACACS_vs_RADIUS
Личные инструменты