Tipuri de protocoale de autentificare
Kerberos
Protocolul de autentificare Kerberos este printre cele mai utilizate în mediile de rețea. Sistemul Kerberos identifică utilizatorii prin implementarea unei biblioteci largi și complexe de "chei" criptate care sunt atribuite doar de platforma Kerberos. Aceste chei nu pot fi citite sau exportate din sistem. Utilizatorii umani și serviciile de rețea care necesită acces la un domeniu sunt autentificate de Kerberos în același mod. Când Kerberos verifică dacă o parolă de utilizator corespunde unei chei stocate, autentifică utilizatorul. Când utilizatorul încearcă să acceseze un alt serviciu de rețea, poate fi necesară o altă autentificare. Cu toate acestea, toate serviciile de rețea din acest sistem interacționează direct cu Kerberos, nu cu utilizatorul. Eficiența mediului Kerberos permite utilizatorilor să se autentifice o singură dată, iar accesul este apoi acordat altor servicii prin partajarea cheie. Odată autentificat, acesta joacă rolul de autoritate pentru acel utilizator și gestionează procesul fișierului cheie pentru restul tuturor serviciilor. Sistemul utilizează aceste chei pentru a convinge restul serviciilor de rețea pentru care utilizatorul a fost deja autentificat. Pentru utilizator, experiența este perfectă. În spatele scenei, mai multe procese de autentificare pot duce la trecerea utilizatorului numai în prima etapă.
RADIUS
Protocolul RADIUS pentru autentificarea utilizatorilor este unul dintre cele mai vechi sisteme utilizate pe Internet. Protocolul a fost o platformă standard de la vârsta conexiunilor dial-up la Internet. RADIUS rulează un program software pe un server. Serverul este de obicei utilizat exclusiv pentru autentificarea RADIUS. Când un utilizator încearcă să se conecteze la rețea, un program client RADIUS direcționează toate datele utilizatorilor către serverul RADIUS pentru autentificare. Serverul găzduiește datele de autentificare ale utilizatorilor într-un format criptat și trimite un răspuns de trecere sau respingere înapoi la platforma de conectare. Prin urmare, autentificarea este stabilită sau respinsă. Dacă este respinsă, utilizatorul încearcă din nou. Când se stabilește, interacțiunea RADIUS se termină. Serviciile de rețea suplimentare care necesită autentificare sunt tratate de alte protocoale, dacă este necesar.
TACACS +
Protocolul de autentificare TACACS + a fost dezvoltat din experiența Cisco cu RADIUS. Multe dintre caracteristicile eficiente ale RADIUS au fost păstrate în TACACS +, în timp ce mecanismele mai robuste au fost create pentru a face față noilor niveluri de securitate cerute de rețelele moderne. O îmbunătățire importantă a designului TACACS + este criptarea completă a tuturor parametrilor utilizați în procesul de autentificare. RADIUS criptează numai parola, în timp ce TACACS + criptează și numele de utilizator și alte date asociate. În plus, RADIUS este un protocol independent de autentificare, în timp ce TACACS + este scalabil. Este posibil să se izoleze numai anumite aspecte ale autentificării TACACS + în timp ce se implementează alte protocoale pentru straturile suplimentare ale serviciului de autentificare. Prin urmare, este adesea combinat cu Kerberos pentru sisteme de autentificare deosebit de puternice.