Typy ověřovacích protokolů

Informace o rozdílech mezi ověřovacími protokoly.

Kerberos

Protokol ověřování Kerberos patří k nejpoužívanějším síťovým prostředím. Systém Kerberos identifikuje uživatele implementací rozsáhlé a složité knihovny šifrovaných "klíčů", které jsou přiřazeny pouze platformou Kerberos. Tyto klíče nelze číst ani exportovat ze systému. Lidské uživatele a síťové služby, které vyžadují přístup k doméně, jsou Kerberosem ověřovány stejným způsobem. Když Kerberos ověří, že uživatelské heslo odpovídá uloženému klíči, autentizuje uživatele. Když se uživatel pokusí přistupovat k jiné síti, může být zapotřebí jiná ověření. Všechny síťové služby v tomto systému však komunikují přímo s Kerberos, nikoliv s uživatelem. Efektivita prostředí Kerberos umožňuje uživatelům jednou autentizovat a přístup k ostatním službám je poskytován prostřednictvím sdílení klíčů. Jakmile je ověřen, hraje roli úřadu pro daného uživatele a řídí proces souboru klíčů pro všechny ostatní služby. Systém používá tyto klávesy k přesvědčení ostatních síťových služeb, pro které již byl uživatel ověřen. Pro uživatele je zkušenost dokonalá. Za scénami mohou způsoby více autentizace vést k tomu, že uživatel předá pouze první stupeň.

RADIUS

Protokol RADIUS pro ověřování uživatelů je jedním z nejstarších systémů používaných na internetu. Protokol je standardní platformou od věku telefonických připojení k Internetu. RADIUS spouští na serveru serverový software. Server je obvykle používán výhradně pro autentizaci RADIUS. Když se uživatel pokusí připojit k síti, klientský program RADIUS nasměruje všechna uživatelská data na server RADIUS pro ověření. Server hostuje data ověřování uživatelů v zašifrovaném formátu a odešle odpověď o povolení nebo odmítnutí zpět na platformu připojení. Proto je ověřování stanoveno nebo odmítnuto. Pokud je zamítnut, uživatel se jednoduše pokusí znovu. Jakmile je zjištěno, ukončí se interakce RADIUS. Další síťové služby vyžadující ověření jsou v případě potřeby zpracovány jinými protokoly.

TACACS +

Autentizační protokol TACACS + byl vyvinut z zkušenosti společnosti Cisco s RADIUS. V TACACS + se zachovalo mnoho efektivních funkcí RADIUS, zatímco byly vytvořeny robustnější mechanismy pro zvládnutí nových úrovní bezpečnosti vyžadovaných moderními sítěmi. Klíčovým zlepšením v návrhu TACACS + je úplné šifrování všech parametrů použitých při autentizačním procesu. RADIUS pouze šifruje heslo, zatímco TACACS + také šifruje uživatelské jméno a další přidružená data. Navíc RADIUS je nezávislý autentizační protokol, zatímco TACACS + je škálovatelný. Je možné izolovat pouze některé aspekty autentizace TACACS + při implementaci dalších protokolů pro další vrstvy ověřovací služby. Proto je často kombinován s Kerberosem pro zvlášť silné autentizační systémy.