TACACS+ は、ユーザによるルータまたはネットワーク アクセス サーバへのアクセス試行の集中的な確認を可能にするセキュリティ アプリケーションです。TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で動作する
TACACS+ デーモンのデータベースで管理されます。ネットワーク アクセス サーバに設定した TACACS+ 機能を使用可能にするには、TACACS+ サーバにアクセスして TACACS+ サーバを設定しておく必要があります。
TACACS+ では、独立したモジュラ型の認証、許可、アカウンティング機能が提供されます。TACACS+ を使用すると、単一のアクセス コントロール サーバ(TACACS+ デーモン)で、各サービス(認証、許可、アカウンティング)を個別に提供できます。各サービスを固有のデータベースに結合し、デーモンの機能に応じてそのサーバまたはネットワークで使用できる他のサービスを提供できます。
TACACS+ の目的は、単一の管理サービスから複数のネットワーク アクセス ポイントを管理する方法を提供することです。アクセス サーバおよびルーティングのシスコ ファミリおよび(ルータとアクセス サーバ両方の)Cisco IOS および Cisco
IOS XE ユーザ インターフェイスは、ネットワーク アクセス サーバにすることができます。
ネットワーク アクセス ポイントによって、従来の「低機能な」端末、端末エミュレータ、ワークステーション、パーソナル コンピュータ(PC)、およびルータと、適切なアダプタ(たとえば、モデムまたは ISDN アダプタ)を併用して、Point-to-Point
Protocol(PPP)、Serial Line Internet Protocol(SLIP)、Compressed SLIP(CSLIP)、または AppleTalk Remote Access(ARA)プロトコルを使用する通信が可能になります。つまり、ネットワーク
アクセス サーバは、単一のユーザ、ネットワークまたはサブネットワーク、および相互接続したネットワークに対して、接続を提供できます。ネットワーク アクセス サーバを介して接続されているエンティティは、ネットワーク アクセス クライアントと呼ばれます。たとえば、音声グレードの回路で PPP を実行する PC は、ネットワーク アクセス クライアントです。AAA セキュリティ サービスを介して管理される TACACS+ は、次のサービスを提供できます。
認証機能には、ユーザに任意のダイアログを実行する機能があります(たとえば、ログインとパスワードの指定後に、自宅住所、母親の旧姓、サービス タイプ、社会保険番号などの複数の質問をユーザに試行する機能)。さらに、TACACS+ 認証サービスは、ユーザ画面へのメッセージ送信をサポートします。たとえば、会社のパスワード有効期間ポリシーに従い、パスワードの変更の必要があることをユーザに通知することもできます。
-
認可:autocommand、アクセス コントロール、セッション期間、プロトコル サポートの設定といった、ユーザ セッション時のユーザ機能についてきめ細かく制御します。また、TACACS+ 認可機能を使用して、ユーザが実行できるコマンドを制限することもできます。
-
アカウンティング:課金、監査、およびレポートに使用する情報を収集して TACACS+ デーモンに送信します。ネットワークの管理者は、アカウンティング機能を使用して、セキュリティ監査のためにユーザの活動状況をトラッキングしたり、ユーザ課金用の情報を提供したりできます。アカウンティング
レコードには、ユーザ ID、開始時刻および終了時刻、実行されたコマンド(PPP など)、パケット数、およびバイト数が含まれます。
TACACS+ プロトコルは、ネットワーク アクセス サーバと TACACS+ デーモンの間に認証機能を提供します。また、ネットワーク アクセス サーバと TACACS+ デーモン間のすべてのプロトコル交換は暗号化されるため、機密性を確保できます。
TACACS+ デーモン ソフトウェアを実行するシステムで、ネットワーク アクセス サーバで TACACS+ 機能を使用する必要があります。
独自の TACACS+ ソフトウェアを開発することに関心があるユーザ向けに、シスコでは、TACACS+ プロトコル仕様をドラフトの RFC として使用できるようにしています。