TACACS+协议
来源:互联网 发布:ubuntu启动失败 编辑:程序博客网 时间:2024/05/17 23:53
TACACS+协议
TACACS+是思科私有协议
TACACS+使用TCP的49端口进行通信
TACACS+使用会话的概念来定义执行认证,授权,统计的交换数据集,通常每个会话都有单独的连接,但多个会话可以复用到同一个TCP连接中
TACACS+头格式(12字节)
- major_version:主版本号,等于0xc
- minor_version:次要版本号,目的为了维护向后的兼容性,默认为0,对一些命令定义了次要版本1
- type:分组类型(0x01=认证,0x02=授权,0x03=审计)
- seq_no:当前会话的分组序列,会话第一个分组序号为1,接下来每一个分组序号依次递增。所以,NAS只发送奇数序列号,TACACS+只发送偶数序列号,序列号不会重复
flags:该区域包含两个不同标志unencrypted和single connect
unencrypted:代表是否对TACACS+分组加密
single connect:代表是否单个TCP连接复用多个TACACS+会话
session_id:会话ID,随机数在加密时使用
- length:TACACS+分组体的总长度(不包括分组头)
TACACS+分组加密
TACACS+对除了分组头之外的整个分局进行加密,RADIUS只加密口令
TACACS+的加密实际是散列(md5)和XOR(异或运算)的结合
TACACS+认证
TACACS+认证的三种类型的分组
- START
- REPLY
- CONTINUE
当NAC收到一个连接请求时开始认证,这时NAS发送一个START消息,该消息包括被执行认证的类型的消息。服务器用一个REPLY消息进行响应,如果需要更多的NAS消息,REPLY消息会给出提示;如果认证结束服务器会发送认证结果的REPLY消息,认证结果可以是以下三种类型:
- ACCEPT
- REJECT
- ERROR:收到ERROR响应NAS一般会试图用另一种可选方法进行认证
TACACS+的授权
TACACS+授权两种类型的分组
- REQUEST
- RESPONSE
NAS发送一个REQUEST到TACACS+服务器,REQUEST中包含有关NAS想要AAA服务器授权给客户端的服务或授权消息。服务器用RESPONSE消息响应,RESPONSE包含5种状态:
- FALL:表示被NAS请求授权给客户端的服务或请求不能给客户端
- PASS_ADD:REQUEST消息中指定的参数被授权,RESPONSE消息中的参数也被使用
- PASS_REPL:REQUEST消息中指定的参数不被授权,RESPONSE消息中的参数被使用
- ERROR:AAA服务器上错误
- FOLLOW:AAA想让授权发生在另一台AAA服务器上
TACACS+的审计
TACACS+的审计和授权相似,NAS向服务器发送不同的记录形式,TACACS+有三种统计记录:
- start:表示一个服务将要开始
- stop:表示一个服务将要停止或已经停止
- continue:当服务仍在进行中时发送的消息
NAS发送REQUEST消息到服务器,REQUEST中包括三种记录类型的一种,以及相应的统计属性-值对。服务器用REPLY分组对NAS相应,REPLY可以指定状态有3种:
- SUCCES:成功
- ERROR:失败
- FOLLOW:让NAS发送记录到另一个服务器
0 0
- TACACS+协议
- 【网络安全】TACACS+协议
- TACACS
- TACACS+配置
- TACACS+操作
- TACACS+技术
- TACACS+ and RADIUS Comparison
- TACACS+、Radius数据流示例
- TACACS+ 配置过程
- TACACS.Net Group 配置
- 忆龙2009:TACACS消息交互流程
- Catalyst交换机配置TACACS+RADIUS,Kerberos
- 思科交换机 ACS4.0 Tacacs+ 登陆验证
- TACACS:终端访问控制器访问控制系统--网络大典
- 忆龙2009:通过TACACS修改Telnet管理用户密码
- PASSWORD,ENABLE,CONSOLE,VTY及TACACS认证顺序及区别
- 忆龙2009:在ASA上采用RADIUS或TACACS进行命令行授权失败的原因
- 华为S5500系列交换机与ACS配合做tacacs认证的典型配置
- codeforces 462 d Appleman and Tree(树形dp)
- 超级线段树
- com.google.android.afwtest.nonsuwpoprovisioning.NonSuwPoProvisioningTest#testNonSuwPoProvisioning fa
- ARM交叉编译器出现如下错误的解决办法 Error: internal_relocation (type: OFFSET_IMM) not fixed up
- 领域逻辑模式(事务脚本)
- TACACS+协议
- HDU 5672 String
- 快捷键
- linux之dd命令
- 使用robotium无源码APK测试碰到的问题
- 图灵机器人之Python实现
- C++作业4
- 如何判断一个数是否为素数
- 从web.xml开始SSH之旅