Si un solo administrador desea acceder a 100 enrutadores y la base de datos local del dispositivo se utiliza para el nombre de usuario y la contraseña (autenticación), entonces el administrador debe crear la misma cuenta de usuario en diferentes momentos. Además, si desea mantener un nombre de usuario y una contraseña diferentes para los dispositivos, debe cambiar manualmente la autenticación de los dispositivos. Por supuesto, es una tarea agitada.
Para facilitar esta tarea hasta cierto punto, se utiliza ACS (Servidor de control de acceso). ACS proporciona un sistema de gestión centralizado en el que se guarda la base de datos de usuario y contraseña. Además, se puede configurar la autorización (lo que el usuario está autorizado a hacer). Pero para esto, tenemos que decirle al enrutador que se refiera a ACS para su decisión sobre autenticación y autorización.
Se utilizan dos protocolos entre el servidor ACS y el cliente para cumplir este propósito:’
- TACACS+
- Radio
Pero aquí hablaremos solo de RADIUS.
RADIUS:
RADIUS significa Servicio de usuario de acceso telefónico de autenticación remota, es un protocolo de seguridad utilizado en el marco AAA para proporcionar autenticación centralizada para los usuarios que desean obtener acceso a la red.
Características: algunas de las características de RADIUS son:
- Protocolo estándar abierto para el marco AAA, es decir, puede usarse entre cualquier dispositivo de proveedor y el servidor Cisco ACS.
- Utiliza UDP como protocolo de transmisión.
- Utiliza el número de puerto UDP 1812 para autenticación y autorización y 1813 para contabilidad.
- Si el dispositivo y el servidor ACS utilizan RADIUS, solo se cifran las contraseñas de los paquetes AAA.
- No se puede implementar ninguna autorización de comando explícita.
- Proporciona un soporte de contabilidad más extenso que TACACS+.
- En RADIUS, la autenticación y la autorización están acopladas.
En funcionamiento:
cuando otros dispositivos deseen acceder al servidor de acceso a la red (cliente NAS de RADIUS), enviará un mensaje de solicitud de acceso al servidor ACS para hacer coincidir las credenciales. En respuesta a la solicitud de acceso del cliente, el servidor ACS proporcionará un mensaje de aceptación de acceso al cliente si las credenciales son válidas y rechazo de acceso si las credenciales no coinciden.
Ventaja –
- Como es un estándar abierto, también se puede utilizar entre otros dispositivos.
- Mayor soporte contable extenso que TACACS+
Desventaja –
- Como RADIUS usa UDP, por lo tanto, es menos confiable que TACACS+.
- No se puede implementar ninguna autorización de comando explícita.
- RADIUS cifra solo las contraseñas. No protege otros datos como el nombre de usuario.
Publicación traducida automáticamente
Artículo escrito por saurabhsharma56 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA