其實理解TACACS+和RADIUS這兩種協議間的差異非常重要。TACACS+的關鍵因素包括不兼容TACACS和KTACACS認證和權分離加密所有通信使用TCP端端口49RADIUS的關鍵因素包括:使用RADIUS代理服務器提供可擴展性將RADIUS認證和授權結合成一個過程只加密密碼;使用UD支持遠程訪問技術、802.1X和SIP。
TACACS+是Cisco對原始TACACS協議的增強。事實上,TACACS+是一個全新的協議,不兼容之前的任何TACACS版本。TACACS+得到CiCo路由器和接入服務器系列產品的支持。TACACS+提供單獨的AA服務。
將AAA服務分離出來提供了實現時的靈活性,因爲這樣就有可能在使用TACACS+進行授權和記賬,同日時使用另一種方法進行認證。對TACACS+協議的擴展提供了比原始TACACS規範更多的認證請求類型和響應碼。
TACACS+提供多協議支持,例如P和Appletalk。正常的TACACS+操作加密整個數據包以提供更安全的通信,並使用TCP端口49LivingstonEnterprises開發的RADIUS是一項開放的IETF標準AAA協議,用於網絡接入或P移動性等應用。RADIUS可以在本地和漫遊狀態下工作,通常用於記賬目的。RADIUS目前在RFC28652866、2867和2868中定義。RADIUS協議使用一個相當複雜的操作(涉及消息摘要5MD5放列和一個共享密鑰)在傳輸過程中隱藏口令,甚至使用口令認證協議(PasswordAuthenticationProtocol,PAP),但數據包的其餘部分以明文形式發送。RADIUS將認證和授權結合爲一個過程。
當一個用戶被認證時,該用戶也就被授權。RADIUS使用UDP端口1645或1812認證,使用UDP端口1646或1813記賬。RADIUS被VoIP服務提供商廣泛使用。它將一個會話發起協議(SessionInitiationProtocol,SIP)的端點(例如一個寬帶電話)的登錄證書使用摘要認證發給一個SIP註冊器,然後使用RADIUS發給個RADIUS服務器。RADIUS也是8021X安全標準所使用的一種通用認證協議。
其實,我們應該知道的是Diameter協議被計劃用來替代RADIUS。Diameter使用一種名爲流控傳輸協議的新傳輸協議,並且使用TCP而非UDP封裝。