photo_admin
Auteur : Clément MICHEL
Niveau de difficulté : Confirmés
Licence :
licence

Le Protocole TACACS+

TACACS+ (Terminal Access Controller Access Control System) est un protocole client/serveur qui permet une centralisation des données d'authentification. Il s'agit d'un protocole de type AAA créé par CISCO.

TACACS+ est la dernière version du protocole TACACS (développé initialement par BBN et ensuite repris par CISCO). CISCO étend une première fois ce protocole avec XTACACS (eXtended TACACS) qui reste compatible avec TACACS, puis avec TACACS+ (cependant cette version n’est plus compatible avec les premières versions). TACACS+ utilise TCP pour son transport (contrairement à TACACS qui était basé sur l’UDP). Il utilise le port 49 (login).

TACACS+ utilise la notion de session pour ses communications entre le NAS (Network Access Server) et le serveur. Une session ne contient qu’un échange, "d’authentification", "d’autorisation", ou "d’accounting". TACACS+ peut utiliser l’identifiant des sessions pour chiffrer les paquets.
Si le client et le serveur le supportent, plusieurs sessions peuvent être réalisées sur la même connexion TCP (pour des raisons de compatibilité il vaut mieux rouvrir une nouvelle connexion pour chaque session).

Processus d'authentification :

  • Etape 1 : Demande d'accès par l'utilisateur.
  • Etape 2 : Le NAS demande l'invite de commande à utiliser au serveur (login).
  • Etape 3 : Le serveur fournit l'invite de commande au NAS.
  • Etape 4 : Le NAS invite le client à renseigner son login.
  • Etape 5 : Le client fournit son login au NAS.
  • Etape 6 : Le NAS fournit le login du client au serveur.
  • Etape 7 : Le NAS demande l'invite de commande à utiliser au serveur (mot de passe).
  • Etape 8 : Le serveur fournit l'invite de commande au NAS.
  • Etape 9 : Le NAS invite le client à renseigner son mot de passe.
  • Etape 10 : Le client fournit son mot de passe au NAS.
  • Etape 11 : Le NAS fournit le mot de passe du client au serveur.
  • Etape 12 : Le serveur accepte ou rejette la connexion.

Schéma du processus d'authentification :

Les différents types de réponses TACACS+ :

  • ACCEPT : Le client est authentifié et le processus d'autorisation commence si le NAS a été configuré pour effectuer cette action.
  • REJECT : L'authentification a échoué pour le client. Le client est soit invité à recommencer la séquence de connexion ou l'accès est refusé (dépend du démon TACAS +).
  • ERROR : Une erreur s'est produite durant la séquence de connexion. Cela peut avoir eu lieu au niveau du démon ou au niveau de la connexion réseau entre le démon et le NAS. Si une réponse d'erreur est reçu, le NAS tentera d'utiliser une méthode alternative pour authentifier le client.
  • CONTINUE : Le client est invité à envoyer des informations d'authentification supplémentaires avant l'acceptation ou le rejet de sa connexion.