Terminal Access Controller Access-Control System

Terminal Access Controller Access-Control System

TACACS的历史

TACACS指的是一个相关的协议族，它们通过一个认证服务器对网络接入、设备管理或其他事务提供远程身份认证及相关服务。最初的TACACS协议诞生于1984年，对于UNIX网络来说是一个比较古老的认证协议，它允许远程访问服务器传送用户登陆密码给认证服务器，认证服务器决定该用户是否可以登陆系统。，它延伸出以下几个版本：
Extended TACACS：XTACACS是思科于1990年提出的TACACS的扩展版本，它与最初的TACACS协议是兼容的，TACACS与XTACACS均允许网络接入服务器和认证服务器进行通信来决定用户是否有权限接入网络。
TACACS+：由Cisco于1993年提出， 是一个开放的标准，尽管TACACS+是由TACACS延伸而来，TACACS+是一个单独的协议，它主要用于处理3A认证服务。
TACACS+及其他一些提供3A认证服务的协议（RADIUS）在很大程度上已经取代了它们的前辈：TACACS、XTACACS。

AAA: Authentication, Authorization and Accounting

在允许一个用户执行若干行动之前，我们必须确定这个用户的身份(Authentication)，并确定我们是否允许这个用户执行这个操作(Authorization). 另外，我们还要保存这个用户登录与执行的具体记录(Accounting).
认证：确认网络的远程用户的身份，判断访问者是否为合法的网络用户。
授权：对不同用户赋予不同的权限，限制用户可以使用的服务。
计费：记录用户使用网络服务中的所有操作，包括使用的服务类型、起始时间 、数据流量等，它不仅是一种计费手段，也对网络安全起到监视作用。
与网络相关的3A认证主要有两种使用场景：
1.Device Administration（设备管理）：我们知道用户可通过Telnet、Console、SSH或其他方式登入设备从而对设备进行配置，控制用户这些登入设备的方式。
2.Network Access（网络接入）：安全的网络接入可以在允许用户或设备接入网络前对其身份进行验证。

TACACS+

尽管TACACS+是由TACACS衍生而来，它完全是一个单独的协议且并不向前兼容。TACACS+主要用于3A认证中的设备管理场景，当然，它也可以用于某些网络接入场景。

TACACS+使用TCP协议（端口号49）在TACACS+客户端与服务器端进行通信。例如：我们想要启用SW1（10.65.254.251 30043） 的TACACS+认证，那么将SW1作为TACACS+客户端，将Linux跳板机（10.65.254.248）部署为TACACS+服务器。
TACACS+与其他提供3A认证的协议的一个重要不同点：TACACS+能够对认证、授权和计费这三个服务单独进行处理。这也是为何在RADIUS也能提供设备管理的服务的情况下，TACACS+为何更普遍地被用于设备管理的场景中。
设备管理的交互性更强，因为虽然对一个用户只需要一次认证，但是在一次CLI会话中多次进行Authorization认证是很常见的。在对一个Router或SW进行管理时，我们常常要求查看每一条指令的授权状况。TACACS+正是适用于这种场景。
TACACS+对于三种不同的认证服务采用不同的报文类型，且对整个报文加密。

RADIUS

Remote Authentication Dial In User Service是一个AAA的IETF的标准，与TACACS+一样采用C/S模型，RADIUS通常用于网络接入场景。在你接入一个安全的无线网络的背后，RADIUS很有可能参与其中。
最初，RADIUS用于二层的PPP（终端用户和NAS网络接入服务器）连接的认证，它将认证流量由NAS传到AAA服务器来进行认证。这使得2层认证协议可以跨越不同网段到达一个中央的认证服务器。
（IEEE802.1X）RADIUS主要用于扩展二层的EAP（Extensible Authentication Protocol）
认证与授权对于RADIUS并不是分开的&