106
10.2-rasm. TACACS va RADIUS protokollarining ishlash mexanizmi
TACACS va RADIUS protokollari alohida autentifikatsiyalash serverining
qo‗llanilishini talab qiladi. Bu server foydalanuvchilar
haqiqiyligini tekshirish va
ularning vakolatlarini aniqlash uchun ma‘lumotlar omborini ishlatadi.
RADIUS protokoli haqiqiylikni, avtorizatsiyalashni va ro‗yxatga olishni
tekshirishni amalga oshirish uchun ishlatiladi.
RADIUS-mijoz (odatda olisdan ulanish server,
VPN -server, simsiz
tarmoqqa ulanish nuqtasi va h.k.) foydalanuvchining ro‗yxatga olish
ma‘lumotlarini va RADIUS xabar shaklidagi ulanish parametrlarini RADIUS -
serverga jo‗natadi. Server haqiqiylikni tekshiradi va mijozning so‗rovini
avtorizatsiyalaydi, keyin esa teskari javob xabarini jo‗natadi.
Mijozlar serverlarga
ro‗yxatga olish xabarlarni ham jo‗natadi. Bundan tashqari, RADIUS standarti
proksi-serverlardan foydalanishni qo‗llaydi. RADIUS ning proksi-serveri bu
RADIUS protokolini qo‗llaydigan tugunlar orasida
RADIUS -xabarlarni qayta
uzatadigan kompyuter hisoblanadi.
RADIUS - xabarlarni uzatilishi uchun UDP (User Datagram Protocol -
Foydalanuvchi deytagramm protokoli) protokoli ishlatiladi. RADIUS haqiqiylikni
tekshirish xabarlari uchun 1812 UDP-port, ro‗yxatga olish xabarlari uchun esa
1813 UDP-port ishlatiladi. Tarmoqqa ayrim
ulanish serverlari RADIUS
haqiqiylikni tekshirish xabarlari uchun 1645 UDP-portni va RADIUS xisobga
olish xabarlari uchun esa 1646 UDP-portni ishlatishi mumkin.
107
RADIUS protokoli yo‗qotiladigan paketlar 5...10% dan kam bo‗ladigan
tarmoqlarda samarador bo‗ladi, boshqa tarmoqlarda TASASS+ protokoli
ishlatilishi yaxshi bo‗ladi.
Shifrlashda RADIUS protokoli parolda faqat clear text shifrlanadi,
qolgan
butun paket «ochiq» qoladi (xavfsizlik nuqtai nazaridan xatto foydalanuvchining
nomi juda muhim parametr bo‗lsada).
TACASS+ protokolida paketning faqat sarlavhasi ochiq (hech qanday qimmatli
axborotni tashimaydigan) qoladi, paketning butun tanasi esa shifrlanadi.
Dostları ilə paylaş: