IP知识百科 > TACACS

什么是TACACS

终端访问控制器控制系统TACACS（Terminal Access Controller Access-Control System），用于与UNIX网络中的身份验证服务器进行通信、决定用户是否有权限访问网络。各厂商在TACACS协议的基础上进行了扩展，例如思科公司开发的TACACS+和华为公司开发的HWTACACS。TACACS+和HWTACACS均为私有协议，在发展过程中逐步替代了原来的TACACS协议，并且不再兼容TACACS协议。

TACACS的产生背景

TACACS是一种起源于二十世纪八十年代的AAA（认证、授权、计费）协议，用于与UNIX网络中的身份验证服务器进行通信、决定用户是否有权限访问网络。

1984年，美国军事研究机构为了在MILNET中实现身份验证自动化，设计了最早的TACACS协议（RFC 927），使已经在一台主机登录的用户无需在同一网络的其他主机上重新验证身份。后来，思科公司在其网络产品中支持TACACS，最终对TACACS进行扩展（RFC 1492），扩展后的TACACS协议被称为Extended TACACS（XTACACS）。与最初的TACACS相比，XTACACS还实现了认证、授权和计费流程的相互独立，并且认证和授权可以在不同的服务器上进行，这无疑有助于管理员对用户进行精细管理和控制。

随着网络的发展，管理员对TACACS在服务器上部署的灵活性，和控制用户命令权限的灵活性都提出了更高的要求。因此，在TACACS和XTACACS的基础上，各厂商再次进行扩展，例如，华为公司开发了HWTACACS，思科公司开发了TACACS+。

TACACS、TACACS+和HWTACACS的关系

与早期的TACACS相比，HWTACACS和TACACS+主要有如下两点改进：

认证、授权和计费过程都相互独立，认证和授权可以在不同的服务器上进行。这使得HWTACACS在服务器部署方面更加灵活。例如，可以用一台HWTACACS服务器A进行认证，另外一台HWTACACS服务器B进行授权。并且，授权时无需再重复进行认证的过程，仅需通知服务器B，用户已在服务器A上成功认证。
支持根据用户级别对执行的每一条命令行通过服务器进行授权，只有授权通过，命令行才允许执行。因此，更便于管理员进行设备管理。

由于TACACS和XTACACS使用UDP协议传输，而HWTACACS和TACACS+使用TCP协议传输，因此HWTACACS和TACACS+都无法与TACACS或XTACACS兼容。

而HWTACACS和TACACS+的认证流程与实现方式是一致的，因此设备使用HWTACACS协议时支持与TACACS+服务器对接。但HWTACACS属性和TACACS+属性在字段定义和解释上存在区别，因此属性之间不一定能够兼容。例如HWTACACS和TACACS+都支持属性tunnel-id，且都解释为建立隧道时的隧道本端用户名，HWTACACS设备就可以与TACACS+服务器对接。HWTACACS支持属性uppeak，但TACACS+不支持，那么TACACS+设备就不会解析该属性，无法对接属性信息。

如果您需要查询哪些属性的字段定义和解释一致，HWTACACS属性信息请参考华为设备的相关文档。以V200R020C10版本的华为S5700系列交换机为例，可以参考用户接入与认证配置指南中的“HWTACACS属性”。TACACS+属性信息请参考思科网站的文档“TACACS Attribute-Value Pairs”。