Je wilt centraal authenticatie doen voor b.v. een router, netwerk device, 802.x, noem maar op. Tuurlijk kan je de Active Directory gebruiken maar dit is niet altijd mogelijk. Niet ieder apparaat ondersteund een LDAP client. Om maar niet te spreken van licenties.
Je zal al snel op Radius of Tacacs+ uitkomen, oké die laatste wat minder snel maar hij zal de revue passeren. Maar wat zijn nou de verschillen, en waarom worden vaak beiden ondersteund en benoemd terwijl de uiteindelijk oplossing hetzelfde resultaat bied. Hieronder zijn de belangrijkste verschillen benoemd:
- RADIUS gebruik UDP waar TACACS+ TCP gebruikt
- RADIUS encrypt het wachtwoord alleen tijdens verzenden waar TACACS+ de gehele sessie encrypt
- RADIUS combineert authenticatie en authorizatie waar TACACS+ deze scheid en apart ook nog accountability anbied
- RADIUS is is beperkt in toegangs niveau’s (privelege voor de Cisco kenners) waar TACACS+ 15 levels beschikbaar heeft.
- RADIUS is een open standaard en dus veel meer in gebruik / support en TACACS+ is Cisco eigendom (de Cisco ACS server)
- RADIUS is lichter en vereist dus minder resources van de hardware van de clients (CPU, MEMORY) waar TACACS+ meer resources vereist.
En wat moet ik nu kiezen? Lees de verschillen, weeg vooral de security niveaus en sessie encryptie af. In de praktijk zal je vrijwel altijd RADIUS kiezen.TIP! Microsoft’s NPS (Network Policy Server) ondersteund dit. Er zit wel een verschil in het aantal clients tussen de Windows 2008 Server Edities.