认证、授权和计费之TACACS+

2.TACACS+

终端访问控制器访问控制系统( Terminal Ac,cess Controller Acc,ess-Control System，TACACS)由RFC1492定义，标准的TACACS协议只认证用户是否可以登录系统，目前已经很少使用。TACACS+协议由Cisco公司提出，主要应用于Cisco公司的产品中，运行于TCP协议之上。TACACS+协议分为认证和授权两个不同的过程。

在认证过程中，客户机发送一个START包给服务器，包的内容包括执行的认证类型、 用户名等信息。START包只在一个认证会话开始时使用一次，序列号永远为l。服务器收到START包以后，回送一个REPLY包，表示认证继续还是结束。如果认证继续，REPLY包将指出还需要提交哪些新信息。如果客户机收到认证结束的REPLY包，则认证结束；如果收到认证继续的REPLY包，则向服务器发送CONTINUE包，其中包括服务器要求的信息，如此反复，直到认证结束。

TACACS+授权过程分为两步。首先，客户端向服务器发送一个REQUEST包，内容包括请求授权的服务和选项等。服务器回复客户端一个RESPONSE包。

由于在传输层上使用TCP协议对其数据包进行封装和传输，TACACS+具有较高的传输可靠性。该协议还能对除数据包头外的所有数据包信息加密，保证了通信安全。TACACS十协议采用了重传机制，在大型网络中，实时性较差。