Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

了解使用 RADIUS 和 TACACS+ 的中央网络访问

远程访问拨入用户服务 (RADIUS) 和终端访问控制器增强型门禁控制系统 (TACACS+) 是用于提供集中网络访问的两种常见安全协议。RADIUS 旨在对远程网络用户进行身份验证和登录,而 TACACS+ 最常用于管理员对路由器和交换机等网络设备进行访问。这两种协议都为连接和使用网络服务的计算机提供集中式身份验证、授权和记帐 (AAA) 管理。

  • 身份验证 - 谁可以访问网络?传统上,授权用户提供用户名和密码来验证其 RADIUS 和 TACACS+ 的身份。

  • 授权 - 用户通过身份验证后可以访问哪些服务?您不太可能希望财务人员有权访问开发人员数据库。访问者可能只能访问互联网,而只有IT人员可以访问整个密码数据库。

  • 会计 - 每个用户访问了哪些服务以及访问了多长时间?记帐记录记录用户的标识、网络地址、连接点和唯一会话标识符 - 跟踪这些统计信息并将其添加到用户的记录中。当系统上的时间向个人或部门计费时,这很有用。

为什么我需要远程身份验证?

远程身份验证使您能够将用户名和密码保存在中央服务器上的一个位置。在此中央服务器上使用 RADIUS 或 TACACS+ 的优势在于,在添加或删除用户或用户更改密码时,无需在每个单独的网络设备上配置更改。您只需对服务器上的配置进行一次更改,然后设备将继续访问服务器进行身份验证。尽管身份验证是 RADIUS 和 TACACS+ 最广为人知的功能,但还提供了两个附加功能,即授权和记帐。

注意:

您可以参考外部源(如 SQL、Kerberos、LDAP 或 Active Directory 服务器)来验证用户凭据,而不是在 RADIUS 服务器上使用平面数据库。

为什么不直接依靠防火墙和过滤器进行访问控制?

路由器和防火墙通常使用基于源和/或目标 IP 地址和端口的过滤器来控制对服务的访问。这意味着限制应用于设备,而不是单个客户端。例如,如果我启用来自 10.1.0.255 的流量来访问特定的 Web 服务器,那么坐在地址为 10.1.0.255 的计算机前的任何人都可以自动访问此服务器。使用 RADIUS 或 TACACS+,坐在机器前地址为 10.1.0.255 的同一个人还必须提供用户名和密码才能访问服务。

使用 LDAP 进行身份验证怎么样?

轻量级目录访问协议 (LDAP) 是用于访问和管理目录信息的客户端/服务器协议。它通过 IP 网络读取和编辑目录,并使用简单的字符串格式直接通过 TCP/IP 进行数据传输。目录服务器包括有关网络上各种实体的信息,例如用户名、密码、与用户名关联的权限、与用户名关联的元数据、连接到网络的设备以及设备配置。

使用 LDAP 获取目录信息,例如电子邮件地址和公钥。如果您想通过互联网提供目录信息,这是一种方法。LDAP 适用于强制门户身份验证。但是,LDAP 不能轻易实现 802.1X 安全性。802.1X 在设计时基本上考虑了 RADIUS,因此 MSCHAPv2 等 802.1X 质询/响应协议适用于 RADIUS。

RADIUS 在网络上的什么位置安装?

RADIUS 包括三个组件:身份验证服务器、客户端协议和记帐服务器。协议的RADIUS服务器部分通常是在UNIX或Microsoft Windows服务器上运行的后台进程。

对于 RADIUS,术语“客户端”是指提供 RADIUS 服务的客户端部分的网络访问设备 (NAD),可以将调制解调器池、交换机、网络防火墙或任何其他需要对用户进行身份验证的设备配置为 NAD,以识别和处理来自网络边缘外部的连接请求。当 NAD 收到用户的连接请求时,它可以与用户执行初始访问协商以获取身份/密码信息。然后,NAD 将此信息作为身份验证/授权请求的一部分传递给 RADIUS 服务器。

注意:

RADIUS 要求配置每个网络客户端设备。

如何在网络上安装 TACACS+?

TACACS+ 登录身份验证协议使用在中央服务器上运行的软件来控制网络上 TACACS 感知设备的访问。服务器会自动与交换机或其他 TACACS 感知设备通信 — 如果这些设备可识别 TACACS,则不需要进一步配置。大多数企业级和运营商级设备都支持 TACACS+ 协议。

将 TACACS+ 服务安装在尽可能靠近用户数据库的位置,最好是在同一台服务器上。TACACS+ 需要与您的域紧密同步,任何网络连接问题、DNS 问题甚至时间差异都可能导致严重的服务故障。在与用户数据库相同的服务器上安装 TACACS+ 也可以提高性能。

TACACS+ 服务器应部署在完全受信任的内部网络中。如果将 TACACS+ 服务保留在受信任的网络中,则只需打开一个端口 TCP 49。不应有任何来自不受信任或半受信任网络的直接访问。

注意:

RADIUS 通常部署在半受信任的网络中,而 TACACS+ 使用内部管理登录,因此在同一台服务器上组合这些服务可能会危及您的网络安全。

RADIUS 和 TACACS+ 的比较

表 1:RADIUS 和 TACACS+
 

半径

TACACS+

主要用途

验证并记录远程网络用户

提供对路由器和交换机等网络设备的管理员访问权限

身份验证和授权

身份验证和授权检查捆绑在一起。当客户端设备从服务器请求身份验证时,服务器会同时使用身份验证属性和授权属性进行回复。这些功能不能单独执行。

所有三个 AAA 功能(身份验证、授权和记帐)都可以独立使用。因此,可以使用一种方法(如 kerberos)进行身份验证,而可以使用单独的方法(如 TACACS+)进行授权。

会计

RADIUS 协议的记帐功能可以独立于 RADIUS 身份验证或授权使用。

协议

用户数据报协议 (UDP)/IP 尽最大努力用于在端口 1645/1646、1812/1813 上进行交付

TCP 用于在端口 49 上进行传递。还支持 AppleTalk 远程访问 (ARA) 协议、NetBIOS 帧协议控制协议、Novell 异步服务接口 (NASI) 和 X.25 PAD 连接的多协议。

应用于的加密

密码

用户名和密码

802.1X 安全性

如果要使用基于 802.1x 端口的网络访问控制,则必须使用 RADIUS 客户端,因为 TACACS+ 客户端不支持该功能。

模型

客户端/服务器

  

推荐环境

半信任

信任

相关文档