Tipi di protocolli di autenticazione
Kerberos
Il protocollo di autenticazione Kerberos è tra i più utilizzati negli ambienti di rete. Il sistema Kerberos identifica gli utenti implementando una vasta e complessa libreria di "chiavi" crittografate assegnate solo dalla piattaforma Kerberos. Queste chiavi non possono essere lette o esportate fuori dal sistema. Allo stesso modo, gli utenti umani e i servizi di rete che richiedono l'accesso a un dominio vengono autenticati da Kerberos. Quando Kerberos verifica che una password utente corrisponda a una chiave memorizzata, autentica l'utente. Quando l'utente tenta di accedere a un altro servizio di rete, potrebbe essere necessaria un'altra autenticazione. Tuttavia, tutti i servizi di rete in questo sistema interagiscono direttamente con Kerberos, non con l'utente. L'efficienza dell'ambiente Kerberos consente agli utenti di autenticarsi una volta e l'accesso è quindi concesso ad altri servizi tramite la condivisione delle chiavi. Una volta autenticato, svolge il ruolo di autorità per quell'utente e gestisce il processo del file chiave per il resto di tutti i servizi. Il sistema utilizza queste chiavi per convincere il resto dei servizi di rete per i quali l'utente è già stato autenticato. Per l'utente, l'esperienza è perfetta. Dietro le quinte, più processi di autenticazione possono far passare all'utente solo il primo stadio.
RADIUS
Il protocollo RADIUS per l'autenticazione degli utenti è uno dei sistemi più vecchi utilizzati su Internet. Il protocollo è stato una piattaforma standard dall'età delle connessioni dial-up a Internet. RADIUS esegue un programma software su un server. Il server viene solitamente utilizzato esclusivamente per l'autenticazione RADIUS. Quando un utente tenta di connettersi alla rete, un programma client RADIUS indirizza tutti i dati dell'utente al server RADIUS per l'autenticazione. Il server ospita i dati di autenticazione dell'utente in un formato crittografato e invia una risposta di trasferimento o rifiuto alla piattaforma di connessione. Pertanto, l'autenticazione è stabilita o respinta. Se viene rifiutato, l'utente semplicemente riproverà. Quando viene stabilito, l'interazione RADIUS termina. Ulteriori servizi di rete che richiedono l'autenticazione sono gestiti da altri protocolli, se necessario.
TACACS +
Il protocollo di autenticazione TACACS + è stato sviluppato dall'esperienza Cisco con RADIUS. Molte delle funzionalità efficaci di RADIUS sono state conservate in TACACS +, mentre i meccanismi più robusti sono stati creati per gestire i nuovi livelli di sicurezza richiesti dalle reti moderne. Un miglioramento chiave nel design TACACS + è la crittografia completa di tutti i parametri utilizzati nel processo di autenticazione. RADIUS crittografa solo la password, mentre TACACS + crittografa anche il nome utente e altri dati associati. Inoltre, RADIUS è un protocollo di autenticazione indipendente, mentre TACACS + è scalabile. È possibile isolare solo alcuni aspetti dell'autenticazione TACACS + implementando altri protocolli per ulteriori livelli del servizio di autenticazione. Pertanto, è spesso combinato con Kerberos per sistemi di autenticazione particolarmente forti.