סוגי פרוטוקולי האימות

למד על ההבדלים בין פרוטוקולי האימות.

Kerberos

פרוטוקול האימות של Kerberos הוא אחד הסוגים הנפוצים ביותר ברשת. מערכת Kerberos מזהה משתמשים על-ידי יישום ספריה גדולה ומורכבת של "מקשים" מוצפנים, המוקצים רק לפלטפורמת Kerberos. לא ניתן לקרוא או לייצא את המקשים האלה מתוך המערכת. משתמשים אנושיים ושירותי רשת המחייבים גישה לדומיין מאומתים על ידי Kerberos באותו אופן. כאשר Kerberos מאמת כי סיסמת משתמש תואמת מפתח מאוחסן, הוא מאמת את המשתמש. כאשר המשתמש מנסה לגשת לשירות רשת אחר, ייתכן שיהיה צורך באימות נוסף. עם זאת, כל שירותי הרשת במערכת זו פועלים באופן ישיר עם Kerberos, לא עם המשתמש. יעילות הסביבה של Kerberos מאפשרת למשתמשים לבצע אימות פעם אחת, והגישה מוענקת לשירותים אחרים באמצעות שיתוף מפתח. לאחר האימות, הוא ממלא תפקיד של רשות עבור אותו משתמש ומנהל את התהליך של קובץ המפתח עבור שאר השירותים. המערכת משתמשת במפתחות אלה כדי לשכנע את שאר שירותי הרשת שעבורם המשתמש כבר אומת. עבור המשתמש, החוויה מושלמת. מאחורי הקלעים, תהליכי אימות מרובים עלולים לגרום למשתמש לעבור רק את השלב הראשון.

רדיוס

פרוטוקול RADIUS לאימות משתמשים הוא אחד המערכות העתיקים ביותר המשמשים באינטרנט. הפרוטוקול כבר פלטפורמה סטנדרטית מאז גיל החיוג בחיבורים לאינטרנט. RADIUS מפעילה תוכנה בשרת. השרת משמש בדרך כלל אך ורק לאימות RADIUS. כאשר משתמש מנסה להתחבר לרשת, תוכנית לקוח של RADIUS מפנה את כל נתוני המשתמש לשרת RADIUS לאימות. השרת מארח את נתוני אימות המשתמש בתבנית מוצפנת ושולח מעבר או דחייה בתגובה לפלטפורמת החיבור. לכן, האימות נקבע או נדחה. אם הוא נדחה, המשתמש פשוט מנסה שוב. כאשר הוא נוצר, האינטראקציה RADIUS מסתיים. שירותי רשת נוספים הדורשים אימות מטופלים על ידי פרוטוקולים אחרים, במידת הצורך.

TACACS +

פרוטוקול האימות של TACACS + פותח מניסיון Cisco עם RADIUS. רבים מהתכונות היעילות של RADIUS נשמרו ב- TACACS +, בעוד שנוצרו מנגנונים חזקים יותר לטיפול ברמות האבטחה החדשות הנדרשות על-ידי רשתות מודרניות. שיפור מרכזי בעיצוב TACACS + הוא ההצפנה המלאה של כל הפרמטרים המשמשים בתהליך האימות. RADIUS רק מצפין את הסיסמה, בעוד TACACS + גם מצפין את שם המשתמש ונתונים קשורים אחרים. בנוסף, RADIUS הוא פרוטוקול אימות עצמאי, בעוד TACACS + הוא מדרגי. ניתן לבודד רק היבטים מסוימים של אימות + TACACS תוך יישום פרוטוקולים אחרים עבור שכבות נוספות של שירות האימות. לכן, הוא משולב לעיתים קרובות עם Kerberos עבור מערכות אימות חזק במיוחד.