dodgerspx
Goto Top

Radius? Tacacs? Oder Kerberos? Welches ist das richtige Protokoll für mich?

Hallo Leute,

ich plane gerade mir ein kleines Netzwerk zu basteln und knabbere dabei jetzt an dem Problem der Authentifizierungsmethode.
Ich möchte verschiedene Dienste zentral verwalten, Mail-Server, Datenbank-Server, Web-Server, File-Server, Firewall, VPN, WLAN, RAS, Proxy-Server, VoIP und Logging-Server. Also im Prinzip alles was man so in einer IT-Umgebung brauchen kann.

Jetzt habe ich mich über die meisten Dienste, die ich so nutzen möchte, weitestgehend eingelesen und mache mir Gedanken über das Thema AAA (Access, Authentifizierung & Accounting).

Man liest ja viel über Radius in Verbindung mit WLAN oder RAS bzw. NAS.
Windows setzt auf Kerberos innerhalb ihrer ADS,
und Cisco bringt man wohl mit TACACS+ in Verbindung.

Ich möchte Benutzerrechte ja zentral mit LDAP verwalten, weil LDAP wohl die Linux-Variante der X.500-Schnittstelle ist,
welche von Unix als DAP, von Novell als LDAP und von Microsoft als ADS umgesetzt, die verwaltung aller Netzwerkressourcen innerhalb einer Baumstruktur ermöglicht. (Zumindest habe ich das so verstanden).
In meinem LDAP-Buch steht drin, dass LDAP verschiedene Authentifizierungsmethoden (also wohl Protokolle?!?) unterstützt.

Was ich allerdings irgendwie noch nicht wirklich begriffen habe ist, ob TACACS+, Radius und Kerberos jetzt reine Alternativen zueinander sind, wie RDP zu VNC, oder ob sie unterschiedliche Verwendungszwecke haben wie z.B. FTP und SMB.
Um ehrlich zu sein weiß noch nicht einmal, ob diese Protokolle irgendwie einander bedingen, da ich schon öfter die Kombination RADIUS und Kerberos gelesen hab.

Kennt vielleicht jemand ein gutes Buch in deutscher Sprache, welches Prinzipien und Implementierungen zentraler Authentifizierungssysteme für Linux (oder besser für heterogene Netzwerke) behandelt?

Dank und Gruß,
DodgerSPX

Content-ID: 58820

Url: https://administrator.de/forum/radius-tacacs-oder-kerberos-welches-ist-das-richtige-protokoll-fuer-mich-58820.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

BartSimpson
BartSimpson 12.05.2007 um 10:14:21 Uhr
Goto Top
Für dein WLAN nimmste am sichersten ein Radiusserver und zur Identifizierung der Rechner EAP-TLS.
Da setzt jedoch AP's voraus, die WPA(2) Enterprise fähig sind.
TACACS+ soll mal der Nachfolger von Radius werden. Nur ist mit kein AP bekannt der mit TACACS+ zusammen spielt. In deinem Kabelgebunden Netz können die HP Switche teilweise TACACS+ und Radius. Zur Benutzeridentifikation am Proxy/Webserver kannste ebenfalls X.509 Zertifikate nutzen.
Das normale TACACS nutzt eh keiner mehr. Kerberos kannst für die klassische Einmalanmeldung nutzen, nur ist die Sache recht kompliziert.