Types de protocoles d'authentification

En savoir plus sur les différences entre les protocoles d'authentification.

Kerberos

Le protocole d'authentification Kerberos est l'un des plus utilisés dans les environnements réseau. Le système Kerberos identifie les utilisateurs en mettant en œuvre une bibliothèque vaste et complexe de "clés" chiffrées qui ne sont attribuées que par la plate-forme Kerberos. Ces clés ne peuvent pas être lues ou exportées hors du système. Les utilisateurs humains et les services réseau nécessitant l'accès à un domaine sont authentifiés par Kerberos de la même manière. Lorsque Kerberos vérifie qu'un mot de passe utilisateur correspond à une clé stockée, il authentifie l'utilisateur. Lorsque l'utilisateur tente d'accéder à un autre service réseau, une autre authentification peut être nécessaire. Cependant, tous les services réseau de ce système interagissent directement avec Kerberos, pas avec l'utilisateur. L’efficacité de l’environnement Kerberos permet aux utilisateurs de s’authentifier une fois, puis l’accès est accordé aux autres services via le partage de clés. Une fois authentifié, il joue le rôle d'autorité pour cet utilisateur et gère le traitement du fichier de clés pour le reste de tous les services. Le système utilise ces clés pour convaincre le reste des services réseau pour lesquels l'utilisateur a déjà été authentifié. Pour l'utilisateur, l'expérience est parfaite. Dans les coulisses, plusieurs processus d'authentification peuvent avoir pour résultat que l'utilisateur ne passe que la première étape.

RAYON

Le protocole RADIUS pour l'authentification des utilisateurs est l'un des plus anciens systèmes utilisés sur Internet. Le protocole est une plate-forme standard depuis l'ère des connexions Internet par ligne commutée. RADIUS exécute un logiciel sur un serveur. Le serveur est généralement utilisé exclusivement pour l'authentification RADIUS. Lorsqu'un utilisateur tente de se connecter au réseau, un programme client RADIUS dirige toutes les données de l'utilisateur vers le serveur RADIUS à des fins d'authentification. Le serveur héberge les données d'authentification de l'utilisateur dans un format crypté et envoie une réponse positive ou négative à la plateforme de connexion. Par conséquent, l'authentification est établie ou rejetée. S'il est rejeté, l'utilisateur essaie simplement à nouveau. Une fois établi, l’interaction RADIUS prend fin. Les services réseau supplémentaires nécessitant une authentification sont gérés par d'autres protocoles, si nécessaire.

TACACS +

Le protocole d'authentification TACACS + a été développé à partir de l'expérience de Cisco avec RADIUS. La plupart des fonctionnalités efficaces de RADIUS ont été préservées dans TACACS +, tandis que des mécanismes plus robustes ont été créés pour gérer les nouveaux niveaux de sécurité exigés par les réseaux modernes. Le cryptage complet de tous les paramètres utilisés dans le processus d'authentification est une amélioration clé de la conception de TACACS +. RADIUS ne chiffre que le mot de passe, tandis que TACACS + chiffre également le nom d'utilisateur et les autres données associées. De plus, RADIUS est un protocole d'authentification indépendant, tandis que TACACS + est évolutif. Il est possible d'isoler uniquement certains aspects de l'authentification TACACS + tout en implémentant d'autres protocoles pour des couches supplémentaires du service d'authentification. Par conséquent, il est souvent associé à Kerberos pour des systèmes d'authentification particulièrement puissants.