TACACS:终端访问控制器访问控制系统
(TACACS & TACACS+:Terminal Access Controller Access Control System)
终端访问控制器访问控制系统(TACACS)通过一个或多个中心服务器为路由器、网络访问控制器以及其它网络处理设备提供了访问控制服务。TACACS 支持独立的认证(Authentication)、授权(Authorization)和计费(Accounting)功能。
TACACS 允许客户机拥有自己的用户名和口令,并发送查询指令到 TACACS 认证服务器(又称之为TACACS Daemon 或 TACACSD)。通常情况下,该服务器运行在主机程序上。主机返回一个关于接收/拒绝请求的响应,然后根据响应类型,判断 TIP 是否允许访问。在上述过程中,判断处理采取“公开化(Opened Up)”并且对应的算法和数据取决于 TACACS Daemon 运行的对象。此外 TACACS 扩展协议支持更多类型的认证请求和响应代码。
当前 TACACS 具有三种版本,其中第三版 TACACS+ 与前两版不兼容。
协议结构
4 |
8 |
16 |
24 |
32 bit |
Major |
Minor |
Packet type |
Sequence no. |
Flags |
Session ID |
Length |
- Major Version ― 主要 TACACS+ 版本号。
- Minor Version ― 次要 TACACS+ 版本号。当需要维持后向兼容性时,允许修订 TACACS+ 协议。
- Packet Type ― 可能值包括:
TAC_PLUS_AUTHEN: = 0x01 (认证);
TAC_PLUS_AUTHOR:= 0x02 (授权);
TAC_PLUS_ACCT:= 0x03 (计费)。
- Sequence Number ― 当前会话中的数据包序列号。会话中的第一个 TACACS+ 数据包序列号必须为1,其后的每个数据包序列号逐次加1。因此客户机只发送奇序列号数据包,而 TACACS+ Daemon只发送偶序列号数据包。
- Flags ― 该字段包括各种位图格式的标志(flag)。Flag 值表明数据包是否进行加密。
- Session ID ― 该 TACACS+ 会话的 ID。
- Length ― TACACS+ 数据包主体总长(不包括头部)。
|
