TACACS+ (ターミナル アクセス コントローラー アクセス コントロール システム プラス) と RADIUS (リモート認証ダイヤルイン ユーザー サービス) は、一般的に使用される 2 つのネットワーク認証プロトコルであり、ユーザー認証とネットワーク デバイスのアクセス制御を管理するために使用されます。
TACACS+ は、クライアント/サーバー アーキテクチャを使用して実装された TCP/IP ベースの認証プロトコルです。個別の認証、認可、アカウンティング(AAA)プロセスを使用して、ネットワーク デバイス(ルータ、スイッチなど)が TACACS+ サーバとの安全な接続を確立できるようにします。具体的な実装手順は簡単に4つのステップに分かれます。
ステップ1 | デバイスはユーザーから認証リクエストを受け取ります |
ステップ2 | デバイスが認証要求を TACACS+ サーバーに送信します |
ステップ3 | TACACS+ サーバーはユーザーを認証し、ユーザー名とパスワードを比較します。 |
ステップ4 | 認証が成功すると、サーバーはデバイスに認証情報を返し、ユーザーのアクセス要求を許可または拒否します。 |
RADIUS は、クライアント/サーバー モデルも使用する UDP ベースの認証プロトコルです。RADIUS サーバーは通常、ワイヤレス アクセス ポイント (AP) や仮想プライベート ネットワーク (VPN) サーバーなどのネットワーク デバイスと組み合わせて使用されます。
ステップ1 | デバイスはユーザーから認証リクエストを受け取ります |
ステップ2 | デバイスが認証要求を RADIUS サーバーに送信します |
ステップ3 | RADIUS サーバーは、ユーザー名とパスワードを確認してユーザーを認証します。 |
ステップ4 | 認証が成功すると、RADIUS サーバーはデバイスに認証情報を返し、ユーザーのアクセス要求を許可または拒否します。 |
TACACS+ であっても RADIUS であっても、その実装には次のコンポーネントが必要です。
- クライアント (ネットワーク デバイス): 認証リクエストを開始し、ユーザーの資格情報を認証サーバーに送信します。
- 認証サーバー: 認証リクエストを受信して処理し、適切なポリシーに従ってユーザーの資格情報を検証します。
- ユーザー データベース: 認証サーバーによる認証プロセスのためのユーザー情報と資格情報を保存します。
- 認証プロトコル: 認証プロセス中のメッセージの形式と交換ルールを決定します。
ただし、ネットワーク認証プロトコルである TACACS+ や RADIUS は暗号化機能をサポートしておらず、本人認証データが平文で送信されるため、セキュリティ上のリスクが伴います。暗号化通信が必要な場合は、SSL/TLSなどのセキュリティプロトコルと組み合わせることができます。