j'ai compris

RADIUS, LDAP, HWTACACS, TACACS+ lequel choisir ?

publié il y a  2021-9-30 23:24:19Dernière réponse abr. 07, 2022 10:41:20 260 1 1 0 0

En tant que l'une des parties les plus importantes du réseau d'authentification, le serveur d'authentification est responsable des informations de connexion des utilisateurs, généralement la combinaison du nom d'utilisateur et du mot de passe, la vérification. On peut dire que le serveur d'authentification est la barrière la plus importante pour empêcher les utilisateurs illégaux d'accéder. Dans cet article, le serveur d'authentification le plus largement utilisé, y compris RADIUS, LDAP, HWTACACS et TACACS+, sera abordé.

protocole d'authentification

Figure 1 : Sélection du protocole d'authentification

RADIUS

Le RADIUS est un protocole standard qui utilise UDP 1812 pour l'authentification et l'autorisation, et UDP 1813 pour la comptabilité. En tant que protocole d'authentification le plus utilisé, le plus grand avantage de RADIUS est sa standardisation. RADIUS est la normalisation dans la RFC 2865, comme le fait l'OSPF, le document RFC restreint les fournisseurs à utiliser le mécanisme de communication unifiée pour la programmation du protocole afin que RADIUS puisse être utilisé entre les appareils de divers fournisseurs. En d'autres termes, les utilisateurs peuvent faire un choix entre différents fournisseurs, plutôt que de se lier avec le fournisseur spécifique.

RADIUS utilise la structure de paquet TLV pour transporter les informations. Par exemple, RADIUS utilise l'attribut User-Name, dont la longueur va de 1 octet à 253 octets, pour fournir le compte de l'utilisateur de connexion. En raison de cette structure de paquet TLV, RADIUS fournit une encapsulation de paquet flexible, qui permet aux fournisseurs d'étendre eux-mêmes le protocole. Par exemple, Huawei étend les attributs RADIUS standard spécifiques au fournisseur pour fournir des informations plus privées, telles que HW-Policy-Route, il spécifie l'adresse de saut suivant dans le routage basé sur la stratégie.

protocole de rayon

Figure 2 Les attributs RADIUS

Comme nous l'avons présenté, RADIUS utilise l'UDP 1812 pour l'authentification et l'autorisation, en d'autres termes, RADIUS n'est pas en mesure d'implémenter l'autorisation et l'authentification dans différents serveurs, c'est totalement différent du HWTACACS ou du TACACS+.

Malgré les avantages de RADIUS, le principal inconvénient de RADIUS est le cryptage du champ de mot de passe uniquement dans les paquets, ce qui entraînerait une fuite d'informations de l'utilisateur.

LDAP

Avant de discuter de l'authentification LDAP, nous allons d'abord présenter LDAP.

LDAP, abréviation de Lightweight Directory Access Protocol, est un protocole d'application ouvert, standard et multiplateforme utilisé pour la maintenance du service d'informations d'annuaire distribué. Il est transmis via le HTTPS. Le serveur LDAP qui stocke les données est assez différent de la base de données traditionnelle, contrairement à une table, le serveur LDAP stocke les données dans une structure arborescente, qui est similaire à la MIB et à l'OID. Simplement, le DN, nom distinctif, marque l'entrée de l'opération de requête. Lorsque le DN est spécifié, le serveur LDAP recherchera dans la base de données LDAP en fonction de l'OU, unité d'organisation, pour obtenir les données souhaitées.

LDAP

Figure 3 : arborescence des annuaires LDAP

Dans ce type de magasin, l'interrogation des données pourrait être beaucoup plus rapide que l'autre base de données. Au contraire, l'insertion de données n'est pas l'avantage du serveur LDAP, en fait, l'insertion de données n'est pas un index de clé dont le service d'authentification a besoin.

Tout comme le RADIUS, LDAP est également un protocole standard. D'un autre côté, comme le LDAP est basé sur HTTPS, cela signifie que les données transférées peuvent être cryptées, ce qui rend le LDAP beaucoup plus sûr que le RADIUS.

Lors de l'utilisation du serveur LDAP pour l'authentification, le périphérique réseau fournit le nom d'utilisateur et le mot de passe au serveur LDAP, et le serveur recherchera l'arborescence du répertoire LDAP pour vérification.

HWTACACS

HWTACACS est un protocole d'authentification privé publié par Huawei. Contrairement au RADIUS, HWTACACS sépare l'authentification et l'autorisation, ce qui signifie que l'authentification, l'autorisation et la comptabilité peuvent être implémentées sur différents serveurs. Mais le protocole privé limite l'utilisation de ce protocole par les autres fournisseurs et fabricants. D'autre part, HWTACACS prend en charge l'enregistrement des commandes pour enregistrer les commandes exécutées sur le serveur HWTACACS pour la comptabilité.

TACACS+

En tant que l'un des fournisseurs les plus importants, Cisco optimise son TACACS et a publié le TACACS+. Le TACACS+ est un protocole d'authentification privé, qui utilise TCP 49 pour la transmission. Et l'inconvénient le plus important de ce protocole est le caractère privé du protocole, ce qui signifie qu'il ne peut pas être utilisé par d'autres fournisseurs et fabricants. Tout comme le HWTACACS, TACACS+ fournit également une authentification, une autorisation et une comptabilité indépendantes.


  • x
  • Standard:

Samira
publié il y a 2022-4-7 10:41:20
Très bien
View more
  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.