什么是TACACS-深圳市維司達科技有限公司

文章目录

- TACACS的产生背景
- TACACS、TACACS+和HWTACACS的关系
- HWTACACS/TACACS+与RADIUS的区别
- HWTACACS认证、授权、计费流程

终端访问控制器控制系统TACACS（Terminal Access Controller Access-Control System），用于与UNIX网络中的身份验证服务器进行通信、决定用户是否有权限访问网络。各厂商在TACACS协议的基础上进行了扩展，例如思科公司开发的TACACS+和华为公司开发的HWTACACS。TACACS+和HWTACACS均为私有协议，在发展过程中逐步替代了原来的TACACS协议，并且不再兼容TACACS协议。

TACACS的产生背景

TACACS是一种起源于二十世纪八十年代的AAA（认证、授权、计费）协议，用于与UNIX网络中的身份验证服务器进行通信、决定用户是否有权限访问网络。

1984年，美国军事研究机构为了在MILNET中实现身份验证自动化，设计了最早的TACACS协议（RFC 927），使已经在一台主机登录的用户无需在同一网络的其他主机上重新验证身份。后来，思科公司在其网络产品中支持TACACS，最终对TACACS进行扩展（RFC 1492），扩展后的TACACS协议被称为Extended TACACS（XTACACS）。与最初的TACACS相比，XTACACS还实现了认证、授权和计费流程的相互独立，并且认证和授权可以在不同的服务器上进行，这无疑有助于管理员对用户进行精细管理和控制。

随着网络的发展，管理员对TACACS在服务器上部署的灵活性，和控制用户命令权限的灵活性都提出了更高的要求。因此，在TACACS和XTACACS的基础上，各厂商再次进行扩展，例如，华为公司开发了HWTACACS，思科公司开发了TACACS+。

TACACS、TACACS+和HWTACACS的关系

与早期的TACACS相比，HWTACACS和TACACS+主要有如下两点改进：

认证、授权和计费过程都相互独立，认证和授权可以在不同的服务器上进行。这使得HWTACACS在服务器部署方面更加灵活。例如，可以用一台HWTACACS服务器A进行认证，另外一台HWTACACS服务器B进行授权。并且，授权时无需再重复进行认证的过程，仅需通知服务器B，用户已在服务器A上成功认证。
支持根据用户级别对执行的每一条命令行通过服务器进行授权，只有授权通过，命令行才允许执行。因此，更便于管理员进行设备管理。

HWTACACS协议与TACACS+协议都实现了认证、授权、计费的功能。HWTACACS和TACACS+的认证流程与实现方式是一致的，HWTACACS协议能够完全兼容TACACS+协议。

不同厂商在扩展属性的字段定义和解释上存在区别。如果您需要查询属性的字段定义和解释，HWTACACS属性信息请参考华为设备的相关文档。以V600R024C00版本的华为S5700系列交换机为例，可以参考用户接入与认证配置指南中的“HWTACACS属性”。TACACS+属性信息请参考思科网站的文档“TACACS Attribute-Value Pairs”。