TACACS là giao thức được chuẩn hoá sử dụng giao thức hướng kết nối (connection- oriented) là TCP trên port 49.
o Với khả năng nhận gói reset (RST) trong TCP, một thiết bị có thể lập tức báo cho đầu cuối khác biết rằng đã có hỏng hóc trong quá trình truyền.
o TCP là giao thức mở rộng vì có khả năng xây dựng cơ chế phục hồi lỗi. Nó có thể tương thích để phát triển cũng như làm tắc nghẽn mạng với việc sử dụng sequence number để truyền lại.
o Toàn bộ payload được mã hoá với TACACS+ bằng cách sử dụng một khoá bí mật chung (shared secret key). TACACS+ đánh dấu một trường trong header để xác định xem thử có mã hoá hay không.
o TACACS+ mã hoá toàn bộ gói bằng việc sử dụng khoá bí mật chung nhưng bỏ qua header TACACS chuẩn. Cùng với header là một trường xác định body có được mã hoá hay không. Thường thì trong toàn bộ thao tác, body của một gói được mã hoá hoàn toàn để truyền thông an toàn.
o TACACS+ được chia làm ba phần: xác thực (authentication), cấp quyền (authorization) và tính cước (accounting). Với cách tiếp cận theo module, ta có thể sử dụng các dạng khác của xác thực và vẫn sử dụng TACACS+ để cấp quyền và tính cước. Chẳng hạn như, việc sử dụng phương thức xác thực Kerberos cùng với việc cấp quyền và tính cước bằng TACACS+ là rất phổ biến.
o TACACS+ hỗ trợ nhiều giao thức.
o Với TACACS+, ta có thể dùng hai phương pháp để điều khiển việc cấp quyền thực thi các dòng lệnh của một user hay một nhóm nhiều user:
o Phương pháp thứ nhất là tạo một mức phân quyền (privilege) với một số câu lệnh giới hạn và user đã xác thực bởi router và TACACS server rồi thì sẽ được cấp cho mức đặc quyền xác định nói trên.
o Phương pháp thứ hai đó là tạo một danh sách các dòng lệnh xác định trên TACACS+ server để cho phép một user hay một nhóm sử dụng.
o TACACS thường được dùng trong môi trường enterprise. Nó có nhiều ưu điểm và làm việc tốt đáp ứng yêu cầu quản lý mạng hàng ngày.
Định dạng TACACS và các giá trị tiêu đề
Các ID TACACS định nghĩa một tiêu đề 12-byte xuất hiện trong tất cả các gói TACACS. tiêu đề này luôn luôn được gửi ở định dạng văn bản rõ ràng.
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
Major_version Minor_version Type Seq_no Flags
Session_id Length Hình 3-4: Định dạng gói tin
Major_version Đây là số phiên bản chính của TACACS. giá trị xuất hiện trong tiêu đề như TAC_PLUS_MAJOR_VER = 0xc.
Minor_version:cung cấp số serial cho giao thức TACACS. Nó cũng cung cấp cho khả năng tương thích của giao thức. Một giá trị mặc định, cũng như phiên bản một, được định nghĩa cho một số lệnh. Những giá trị này xuất hiện trong tiêu đề TACACS như TAC_PLUS_MINOR_VER_DEFAULT = 0x0
TAC_PLUS_MINOR_VER_ONE = 0x1.
Nếu một máy chủ AAA chạy TACACS nhận được một gói TACACS xác định một phiên bản nhỏ hơn khác phiên bản hiện tại, nó sẽ gửi một trạng thái lỗi trở lại và yêu cầu các minor_version với phiên bản gần nhất được hỗ trợ.
Loại này phân biệt các loại gói tin. Chỉ có một số loại là hợp pháp. Các loại gói hợp pháp như sau:
- TAC_PLUS_AUTHEN = 0x01 đây là loại gói nghĩa xác thực. - TAC_PLUS_AUTHOR-0x02 đây là loại gói tin mà nghĩa uỷ quyền. - TAC_PLUS_ACCT = 0x03 đây là loại gói tin mà nghĩa kế toán.
Seq_no: xác định số thứ tự cho các phiên làm việc. TACACS có thể khởi tạo một hoặc nhiều phiên TACACS cho mỗi khách hàng AAA.
Flags:có 2 cờ
+TAC_PLUS_UNENCRYPTED_FLAG:xác định mã hoá của gói TACACS. Giá trị 1 là chưa mã hoá, giá trị 0 là gói tin đã được mã hoá.
+TAC_PLUS_SINGLE_CONNECT_FLAG:Xác định ghép hoặc không ghép các phiên tacacs trên một kết nối tcp.
Session_id Đây là một giá trị ngẫu nhiên đó chỉ định các phiên hiện tại giữa khách hàng và máy chủ AAA chạy TACACS. Giá trị này vẫn giữ nguyên trong suốt thời gian của phiên làm việc
Lengh: tổng chiều dài của gói TACACS, không bao gồm tiêu đề 12-byte.
Khái niệm xác thực TACACS + cũng tương tự như RADIUS. NAS sẽ gửi một yêu cầu chứng thực với TACACS + server.Các máy chủ cuối cùng sẽ gửi bất kỳ thông điệp sau đây trở về NAS:
ACCEPT - Người dùng đã được xác thực thành công và các dịch vụ yêu cầu sẽ được cho phép. Nếu như cơ chế cấp quyền được yêu cầu,tiến trình cấp quyền sẽ được thực thi.
REJECT - xác thực người dùng đã bị từ chối. Người sử dụng có thể được nhắc để thử lại chứng thực tuỳ thuộc vào TACACS + server và NAS.
ERROR - Một số lỗi xảy ra trong quá trình xác thực. Nguyên nhân gây ra lỗi có thể ở vấn đề kết nối hoặc vi phạm cơ chế bảo mật.
CONTINUE - Người dùng được nhắc nhở để cung cấp thông tin xác thực hơn.
Sau khi quá trình xác thực đã hoàn tất, nếu uỷ quyền được yêu cầu TACACS + server với sẽ xử lý giai đoạn kế tiếp nếu xác thực thành công.