TACACS+ & RADIUS 이론

TACACS+ 란?

- TACACS+는 Terminal Access Controller Access Control System으로 시스코에 지원하는 프로토콜이며

Cisco Client와 Cisco ACS server간의 커뮤니케이션을 위해서 사용되고 있다. 49번 포트를 사용한다.

 

RADIUS 란?

- RADIUS는 Remote Access Dial In User Service로 open standard protocol이며 AAA Client와 ACS server간의 의사소통을 위해서 사용되고 있다. 만약 클라이언트가 Cisco가 아닌 다른 제품을 사용하고 있다면, RADIUS사용은 필수이다.

인증과 인가를 위해 포트 1812번을 사용하며, 계정관리를 위해서 Port 1813번을 사용한다. 초창기에는 1645, 1646을 쓰기도 하였다.

 

 

TACACS, RADIUS와 같은 서비스를 제공하는 인증 서버를 우리는 AAA라고 한다.

AAA는 인증(Authentication), 인가(Authorization), 계정관리(Accounting)을 뜻한다.

 

인증, 허가, 관리라고하니 이해가 어려울 수 있다. 예를 들어보겠다.

우리가 리그오브레전드 게임을 하려면 로그인이 필요하다. 그건 우리가 롤 유저가 맞느냐 아니냐를 따지는 것이다.

회원이 아닌데도 게임에 접근할 수 없으니 말이다. 이건 인증이다.

인증 완료 후 접속을 하면 우리는 유저의 권한을 부여받는다. 즉 운영자의 권한까지 받진 못한다는 것이다.  그런데 
운영자도 게임에 들어올 땐 똑같이 로그인을 한다. 누구한텐 일반 유저 권한을 누군가한텐 운영자의 권한을 주는 이것이 인가이다. 마지막으로 관리는 우리가 게임을 승리하고 패배하고 로그아웃을 하고 등등의 일들을 모두 기록하는 것이 바로 관리이다.

 

 

 

TACACS와 RADIUS의 차이점

TACACS+	RADIU
시스코 프로토콜	표준 프로토콜
TCP	UDP
TCP 포트 49번 사용	UDP 포트 1812, 1813번 사용
AAA패킷 전체를 암호화한다.	password만 암호화하고 나머지는 비 암호화이다.
인증(Authentication)과 권한 검증(Authorization)을 분리하여 다룬다. TACACS+는 AAA를 분리하는 아키텍쳐를 사용한다.	인증(Authentication)과 권한 검증(Authorization)을 하나로 다룬다. RADIUS 서버에서 클라이언트로 보낸 액세스 허용 패킷에 인증 정보가 함께 포함되어 있기에 분리가 어려운 것이다.
멀티 프로토콜을 지원한다.	AppleTalk Remote Access (ARA), NetBIOS 프레임 프로토콜 제어 프로토콜, NoVell 비동기 서비스 인터페이스 등의 지원이 불가능하다.
장비 관리에있어 굉장히 유연하게 작용한다.	장비 관리에 유연하지 않거나, 터미널 서비스에 유연하지 않다.

 

 

참고 : cafe.naver.com/netsmaster/13149

sangvak.tistory.com/entry/TACACS-Vs-RADIUS

(차이점 굉장히 자세히 서술되어있음)