Tipos de protocolos de autenticação
Kerberos
O protocolo de autenticação Kerberos está entre os mais usados em ambientes de rede. O sistema Kerberos identifica os usuários implementando uma biblioteca grande e complexa de "chaves" criptografadas que são atribuídas somente pela plataforma Kerberos. Essas chaves não podem ser lidas ou exportadas para fora do sistema. Usuários humanos e serviços de rede que exigem acesso a um domínio são autenticados pelo Kerberos da mesma maneira. Quando o Kerberos verifica se uma senha do usuário corresponde a uma chave armazenada, ela autentica o usuário. Quando o usuário tenta acessar outro serviço de rede, outra autenticação pode ser necessária. No entanto, todos os serviços de rede neste sistema interagem diretamente com o Kerberos, não com o usuário. A eficiência do ambiente Kerberos permite que os usuários autentiquem uma vez e o acesso é concedido a outros serviços por meio do compartilhamento de chaves. Uma vez autenticado, ele desempenha o papel de uma autoridade para esse usuário e gerencia o processo do arquivo de chave para o restante de todos os serviços. O sistema usa essas chaves para convencer o restante dos serviços de rede para os quais o usuário já foi autenticado. Para o usuário, a experiência é perfeita. Nos bastidores, vários processos de autenticação podem resultar no usuário passando apenas no primeiro estágio.
RAIO
O protocolo RADIUS para autenticar usuários é um dos sistemas mais antigos usados na Internet. O protocolo tem sido uma plataforma padrão desde a era das conexões dial-up com a Internet. O RADIUS executa um programa de software em um servidor. O servidor é geralmente usado exclusivamente para autenticação RADIUS. Quando um usuário tenta se conectar à rede, um programa cliente RADIUS direciona todos os dados do usuário para o servidor RADIUS para autenticação. O servidor hospeda os dados de autenticação do usuário em um formato criptografado e envia uma resposta de aprovação ou rejeição de volta à plataforma de conexão. Portanto, a autenticação é estabelecida ou rejeitada. Se for rejeitado, o usuário simplesmente tenta novamente. Quando é estabelecido, a interação RADIUS termina. Serviços de rede adicionais que exigem autenticação são tratados por outros protocolos, se necessário.
TACACS +
O protocolo de autenticação TACACS + foi desenvolvido a partir da experiência da Cisco com o RADIUS. Muitos dos recursos eficazes do RADIUS foram preservados no TACACS +, enquanto os mecanismos mais robustos foram criados para lidar com os novos níveis de segurança exigidos pelas redes modernas. Uma melhoria importante no design do TACACS + é a criptografia completa de todos os parâmetros usados no processo de autenticação. O RADIUS criptografa apenas a senha, enquanto o TACACS + também criptografa o nome de usuário e outros dados associados. Além disso, o RADIUS é um protocolo de autenticação independente, enquanto o TACACS + é escalonável. É possível isolar apenas certos aspectos da autenticação TACACS + durante a implementação de outros protocolos para camadas adicionais do serviço de autenticação. Portanto, muitas vezes é combinado com o Kerberos para sistemas de autenticação particularmente fortes.