RADIUS・TACACS+ らでぃうす・たかくすぷらす
RADIUSTACACS+ネットワーク認証AAAVPN認証802.1X
RADIUS・TACACS+について教えて
RADIUS・TACACS+とは
ネットワーク環境では、ルーター・スイッチ・VPNゲートウェイ・Wi-Fiアクセスポイントなど多数の機器に対して、誰がアクセスできるかを一元管理する必要があります。これを実現するのが AAA(Authentication認証・Authorization認可・Accounting記録)プロトコル です。
RADIUS(Remote Authentication Dial-In User Service) は1992年に策定されたAAAプロトコルで、主にエンドユーザー認証(Wi-Fiへの接続、VPNログインなど)に使われます。UDPベースで軽量です。
TACACS+(Terminal Access Controller Access-Control System Plus) はCiscoが開発したAAAプロトコルで、主にネットワーク機器の管理者認証(ルーターへのSSHログインなど)に使われます。TCPベースで、コマンド単位の認可が可能です。
RADIUSとTACACS+の比較
| 比較項目 | RADIUS | TACACS+ |
|---|---|---|
| 開発元 | IETF(標準化) | Cisco(独自拡張) |
| トランスポート | UDP (1812/1813) | TCP (49) |
| 暗号化範囲 | パスワードのみ暗号化 | パケット全体を暗号化 |
| 認証・認可の分離 | できない(一体処理) | できる(別々に処理) |
| コマンド単位の認可 | 不可 | 可能 |
| 主な用途 | エンドユーザー認証(VPN・Wi-Fi・802.1X) | ネットワーク機器の管理者認証 |
| 拡張性 | VSA(ベンダー固有属性)で拡張可能 | 限定的 |
歴史と背景
- 1991年:Merit NetworkがRADIUSを開発(ダイヤルアップ認証向け)
- 1997年:RADIUSがRFC 2058/2059として標準化
- 1993年:CiscoがTACACS+を開発(TACACS/XTACACSの後継)
- 2000年代:Wi-Fi認証(IEEE 802.1X)でRADIUSが急速に普及
- 2010年代〜:クラウドVPN・SASE普及に伴い、クラウドRADIUSサービスも登場
- 現在:企業Wi-FiやVPN認証の標準としてRADIUSは現役。TACACS+はCisco機器管理に継続利用
802.1X認証でのRADIUSの役割
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 2865 | RADIUS(Authentication)の仕様 |
| RFC 2866 | RADIUS Accounting(アカウンティング)の仕様 |
| RFC 5176 | RADIUS Dynamic Authorization(CoA/DM) |
| IEEE 802.1X | ポートベースネットワークアクセス制御 |
関連用語
- Active Directory — RADIUSのバックエンド認証ストアとして使われることが多い
- MFA・2FA — RADIUSと組み合わせてVPN認証に多要素認証を追加する
- IAM — RADIUSが担うAAAをクラウドで拡張したもの
- LDAP — RADIUSが認証情報の照合に使うディレクトリプロトコル