[要約] RFC 8907は、Terminal Access Controller Access-Control System Plus (TACACS+) プロトコルに関する文書です。このプロトコルは、ネットワークアクセスの認証、認可、およびアカウンティング(AAA)サービスを提供するために設計されています。主にリモートアクセスサービスやネットワーク機器の管理に利用され、セキュリティとアクセス制御を強化します。TACACS+は、その前身であるTACACSやXTACACSとは異なり、よりセキュアな通信と柔軟なプロトコル構造を提供します。関連するRFCには直接的なものは存在しないが、他の認証プロトコルやセキュリティ関連のRFCと関連性があります。
Internet Engineering Task Force (IETF) T. Dahm Request for Comments: 8907 A. Ota Category: Informational Google Inc. ISSN: 2070-1721 D.C. Medway Gash Cisco Systems, Inc. D. Carrel IPsec Research L. Grant September 2020
The Terminal Access Controller Access-Control System Plus (TACACS+) Protocol
端末アクセスコントローラアクセス制御システムプラス(TACACS)プロトコル
Abstract
概要
This document describes the Terminal Access Controller Access-Control System Plus (TACACS+) protocol, which is widely deployed today to provide Device Administration for routers, network access servers, and other networked computing devices via one or more centralized servers.
このドキュメントでは、1つまたは複数の集中型サーバーを介してルーター、ネットワークアクセスサーバー、および他のネットワークコンピューティングデバイスのデバイス管理を提供するために、今日広く展開されている端末アクセスコントローラのアクセス制御システムPlus(TACACS)プロトコルについて説明します。
Status of This Memo
本文書の状態
This document is not an Internet Standards Track specification; it is published for informational purposes.
この文書はインターネット標準のトラック仕様ではありません。情報提供のために公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are candidates for any level of Internet Standard; see Section 2 of RFC 7841.
この文書は、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表します。それは公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による出版の承認を受けました。IESGによって承認されたすべての文書がすべてのレベルのインターネット規格の候補者ではありません。RFC 7841のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc8907.
この文書の現在のステータス、任意のエラータ、およびフィードバックを提供する方法については、https://www.rfc-editor.org/info/rfc8907で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2020 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(C)2020 IETFの信頼と文書著者として識別された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
このドキュメントは、このドキュメントの発行日に有効なBCP 78およびIETFドキュメントに関連するIETFトラストの法的規定(https://trustee.ietf.org/license-info)の対象となります。 これらのドキュメントは、このドキュメントに関するお客様の権利と制限について説明しているため、注意深く確認してください。 このドキュメントから抽出されたコードコンポーネントには、Trust LegalProvisionsのセクション4.eで説明されているSimplifiedBSD Licenseテキストが含まれている必要があり、Simplified BSDLicenseで説明されているように保証なしで提供されます。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
この文書には、2008年11月10日以前に公開されたIETF文書または公開されたIETFの貢献からの資料を含めることができます。この材料のいくつかの著作権を制御する人は、そのような材料の修正を許可する権利を信頼する権利を与えられなかった人物IETF標準の外部プロセス。そのような材料の著作権を制御する人から適切なライセンスを取得せずに、この文書はIETF規格プロセスの外で修正されていない可能性があり、それをフォーマットすること以外はIETF標準プロセスの外ではデリバティブ作品が作成されない可能性があります。RFCとしての出版物、または英語以外の言語に翻訳する。
Table of Contents
目次
1. Introduction 2. Conventions 3. Technical Definitions 3.1. Client 3.2. Server 3.3. Packet 3.4. Connection 3.5. Session 3.6. Treatment of Enumerated Protocol Values 3.7. Treatment of Text Strings 4. TACACS+ Packets and Sessions 4.1. The TACACS+ Packet Header 4.2. The TACACS+ Packet Body 4.3. Single Connection Mode 4.4. Session Completion 4.5. Data Obfuscation 5. Authentication 5.1. The Authentication START Packet Body 5.2. The Authentication REPLY Packet Body 5.3. The Authentication CONTINUE Packet Body 5.4. Description of Authentication Process 5.4.1. Version Behavior 5.4.2. Common Authentication Flows 5.4.3. Aborting an Authentication Session 6. Authorization 6.1. The Authorization REQUEST Packet Body 6.2. The Authorization REPLY Packet Body 7. Accounting 7.1. The Account REQUEST Packet Body 7.2. The Accounting REPLY Packet Body 8. Argument-Value Pairs 8.1. Value Encoding 8.2. Authorization Arguments 8.3. Accounting Arguments 9. Privilege Levels 10. Security Considerations 10.1. General Security of the Protocol 10.2. Security of Authentication Sessions 10.3. Security of Authorization Sessions 10.4. Security of Accounting Sessions 10.5. TACACS+ Best Practices 10.5.1. Shared Secrets 10.5.2. Connections and Obfuscation 10.5.3. Authentication 10.5.4. Authorization 10.5.5. Redirection Mechanism 11. IANA Considerations 12. References 12.1. Normative References 12.2. Informative References Acknowledgements Authors' Addresses
This document describes the Terminal Access Controller Access-Control System Plus (TACACS+) protocol. It was conceived initially as a general Authentication, Authorization, and Accounting (AAA) protocol. It is widely deployed today but is mainly confined for a specific subset of AAA called Device Administration, which includes authenticating access to network devices, providing central authorization of operations, and auditing of those operations.
このドキュメントでは、端末アクセスコントローラのアクセス制御システムと(TACACS)プロトコルについて説明します。これは最初は一般認証、承認、および会計(AAA)プロトコルとして考えられました。それは今日広く展開されていますが、主にデバイス管理と呼ばれるAAAの特定のサブセットを統制します。これは、ネットワークデバイスへのアクセスを認証し、中央の操作の承認、およびそれらの操作の監査を提供します。
A wide range of TACACS+ clients and servers is already deployed in the field. The TACACS+ protocol they are based on is defined in a document that was originally intended for IETF publication, but was never standardized. The document is known as "The Draft" [THE-DRAFT].
幅広いTACACSクライアントとサーバーはすでにフィールドに展開されています。それらが基づいているTACACSプロトコルは、もともとIETF出版を目的とした文書で定義されていますが、標準化されていませんでした。文書は「ドラフト」[草案]として知られています。
This Draft was a product of its time and did not address all of the key security concerns that are considered when designing modern standards. Therefore, deployment must be executed with care. These concerns are addressed in Section 10.
このドラフトはその時間の積であり、現代の標準を設計するときに考慮されるすべての重要なセキュリティ上の懸念に対処しなかった。したがって、展開は慎重に実行されなければなりません。これらの懸念はセクション10で対処されています。
The primary intent of this informational document is to clarify the subset of "The Draft", which is common to implementations supporting Device Administration. It is intended that all implementations that conform to this document will conform to "The Draft". However, it is not intended that all implementations that conform to "The Draft" will conform to this document. The following features from "The Draft" have been removed:
この情報文書の主な目的は、「ドラフト」のサブセットを明確にします。これは、デバイス管理をサポートする実装に共通です。この文書に適合するすべての実装は「ドラフト」に準拠していることが意図されています。ただし、「ドラフト」に準拠したすべての実装がこの文書に準拠していることは意図されていません。「ドラフト」からの以下の機能が削除されました。
* This document officially removes SENDPASS for security reasons.
* この文書では、セキュリティ上の理由からのSendpassを正式に削除します。
* The normative description of legacy features such as the Apple Remote Access Protocol (ARAP) and outbound authentication has been removed.
* Apple Remote Access Protocol(ARAP)やアウトバウンド認証などのレガシー機能の規範的な説明は削除されました。
* The Support for forwarding to an alternative daemon (TAC_PLUS_AUTHEN_STATUS_FOLLOW) has been deprecated.
* 代替デーモン(TAC_PLUS_AUTH_STATUS_FOLLOW)への転送のサポートは非推奨です。
The TACACS+ protocol allows for arbitrary length and content authentication exchanges to support alternative authentication mechanisms. It is extensible to provide for site customization and future development features, and it uses TCP to ensure reliable delivery. The protocol allows the TACACS+ client to request fine-grained access control and allows the server to respond to each component of that request.
TACACSプロトコルは、代替の認証メカニズムをサポートするために任意の長さおよびコンテンツ認証の交換を可能にする。サイトのカスタマイズと将来の開発機能を提供することが拡張可能で、信頼できる配信を確実にするためにTCPを使用しています。このプロトコルにより、TACACSクライアントはきめ細かいアクセス制御を要求し、サーバーがその要求の各コンポーネントに応答できるようにします。
The separation of authentication, authorization, and accounting is a key element of the design of TACACS+ protocol. Essentially, it makes TACACS+ a suite of three protocols. This document will address each one in separate sections. Although TACACS+ defines all three, an implementation or deployment is not required to employ all three. Separating the elements is useful for the Device Administration use case, specifically, for authorization and accounting of individual commands in a session. Note that there is no provision made at the protocol level to associate authentication requests with authorization requests.
認証、承認、および会計の分離は、TACACSプロトコルの設計の重要な要素です。基本的に、それはTACACSを3つのプロトコルのスイートにします。このドキュメントはそれぞれ別々のセクションでアドレス指定されます。TACACSは3つすべてを定義しますが、実装または展開は3つすべてを採用する必要はありません。要素を分離することは、デバイス管理ユースケース、特にセッション内の個々のコマンドの許可および会計のために役立ちます。認証要求を許可要求に関連付けるには、プロトコルレベルで行われた規定はありません。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はBCP 14 [RFC2119] [RFC8174]で説明されているように、すべて大文字の場合にのみ解釈されます。
This section provides a few basic definitions that are applicable to this document.
このセクションでは、この文書に適用可能ないくつかの基本的な定義を説明します。
The client is any device that initiates TACACS+ protocol requests to mediate access, mainly for the Device Administration use case.
クライアントは、主にデバイス管理ユースケースのためにアクセスを仲介するためのTACACSプロトコル要求を開始する任意のデバイスです。
The server receives TACACS+ protocol requests and replies according to its business model in accordance with the flows defined in this document.
この文書で定義されているフローに従って、サーバーはそのビジネスモデルに従ってTACACSプロトコル要求と返信を受け取ります。
All uses of the word packet in this document refer to TACACS+ protocol data units unless explicitly noted otherwise. The informal term "packet" has become an established part of the definition.
このドキュメントのWordパケットのすべての用途は、特に明示的に記載されていない限り、TACACSプロトコルデータユニットを参照しています。非公式の用語「パケット」は定義の確立された部分となっています。
TACACS+ uses TCP for its transport. TCP Server port 49 is allocated by IANA for TACACS+ traffic.
TACACSはそのトランスポートにTCPを使用します。TCPサーバーポート49は、TACACSトラフィックのためにIANAによって割り当てられています。
The concept of a session is used throughout this document. A TACACS+ session is a single authentication sequence, a single authorization exchange, or a single accounting exchange.
セッションの概念はこの文書全体で使用されます。TACACSセッションは、単一の認証シーケンス、単一の承認交換、または単一の会計交換です。
An accounting and authorization session will consist of a single pair of packets (the request and its reply). An authentication session may involve an arbitrary number of packets being exchanged. The session is an operational concept that is maintained between the TACACS+ client and server. It does not necessarily correspond to a given user or user action.
アカウンティングおよび承認セッションは、単一のパケット(要求とその返信)で構成されます。認証セッションは、交換されている任意の数のパケットを含み得る。セッションは、TACACSクライアントとサーバー間で維持されている操作概念です。それは必ずしも特定のユーザーまたはユーザーの行動に対応していません。
This document describes various enumerated values in the packet header and the headers for specific packet types. For example, in the authentication start packet type, this document defines the action field with three values: TAC_PLUS_AUTHEN_LOGIN, TAC_PLUS_AUTHEN_CHPASS, and TAC_PLUS_AUTHEN_SENDAUTH.
この文書では、パケットヘッダー内のさまざまな列挙値と特定のパケットタイプのヘッダーについて説明します。たとえば、認証開始パケットの種類では、このドキュメントでは、TAC_PLUS_AUTH_LOGIN、TAC_PLUS_AUTH_CHPASS、およびTAC_PLUS_AUTH_SENDAUTH、3つの値を持つアクションフィールドを定義します。
If the server does not implement one of the defined options in a packet that it receives, or it encounters an option that is not listed in this document for a header field, then it should respond with an ERROR and terminate the session. This will allow the client to try a different option.
サーバーが受信したパケット内の定義済みオプションの1つを実装しない場合、またはヘッダーフィールドのこのドキュメントにリストされていないオプションが発生した場合は、エラーで応答してセッションを終了する必要があります。これにより、クライアントは別のオプションを試すことができます。
If an error occurs but the type of the incoming packet cannot be determined, a packet with the identical cleartext header but with a sequence number incremented by one and the length set to zero MUST be returned to indicate an error.
エラーが発生した場合、着信パケットの種類を決定できない場合は、同じクリアテキストヘッダーを持つがシーケンス番号が1つずつ、ゼロに設定された長さを持つパケットを返す必要があります。
The TACACS+ protocol makes extensive use of text strings. "The Draft" intended that these strings would be treated as byte arrays where each byte would represent a US-ASCII character.
TACACSプロトコルはテキスト文字列を広く使用します。「ドラフト」は、これらの文字列がバイトアレイとして扱われることを意図しています。各バイトはUS-ASCII文字を表します。
More recently, server implementations have been extended to interwork with external identity services, and so a more nuanced approach is needed. Usernames MUST be encoded and handled using the UsernameCasePreserved Profile specified in [RFC8265]. The security considerations in Section 8 of [RFC8265] apply.
最近になって、サーバーの実装は外部のアイデンティティサービスとの相互作用に拡張されているので、より微妙なアプローチが必要です。ユーザー名は、[RFC8265]で指定されたusernameCaseprevedプロファイルを使用してエンコードおよび処理されている必要があります。[RFC8265]のセクション8のセキュリティ上の考慮事項が適用されます。
Where specifically mentioned, data fields contain arrays of arbitrary bytes as required for protocol processing. These are not intended to be made visible through user interface to users.
具体的に言及された場合、データフィールドは、プロトコル処理に必要な任意のバイトの配列を含む。これらはユーザーにユーザーインターフェースを介して表示されることを意図していません。
All other text fields in TACACS+ MUST be treated as printable byte arrays of US-ASCII as defined by [RFC0020]. The term "printable" used here means the fields MUST exclude the "Control Characters" defined in Section 5.2 of [RFC0020].
TACACの他のすべてのテキストフィールドは、[RFC0020]によって定義されているように、US-ASCIIの印刷可能バイト配列として扱う必要があります。ここで使用されている「印刷可能」という用語は、フィールドが[RFC0020]のセクション5.2で定義されている「制御文字」を除外する必要があります。
All TACACS+ packets begin with the following 12-byte header. The header describes the remainder of the packet:
すべてのTACACSパケットは、次の12バイトのヘッダーで始まります。ヘッダーはパケットの残りの部分を記述します。
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 +----------------+----------------+----------------+----------------+ |major | minor | | | | |version| version| type | seq_no | flags | +----------------+----------------+----------------+----------------+ | | | session_id | +----------------+----------------+----------------+----------------+ | | | length | +----------------+----------------+----------------+----------------+
The following general rules apply to all TACACS+ packet types:
以下の一般的な規則は、すべてのTACACSパケットタイプに適用されます。
* To signal that any variable-length data fields are unused, the corresponding length values are set to zero. Such fields MUST be ignored, and treated as if not present.
* 任意の可変長データフィールドが未使用であることを知らせるために、対応する長さの値はゼロに設定されます。そのようなフィールドは無視され、存在しないかのように扱われなければなりません。
* The lengths of data and message fields in a packet are specified by their corresponding length field (and are not null terminated).
* パケット内のデータフィールドとメッセージフィールドの長さは、対応する長さフィールドで指定されます(そしてNULLが終了しません)。
* All length values are unsigned and in network byte order.
* すべての長さの値は符号なしおよびネットワークバイト順にあります。
major_version
MAIGUSER_VERSION.
This is the major TACACS+ version number.
これはTACACSのバージョン番号です。
TAC_PLUS_MAJOR_VER := 0xc
TAC_PLUS_MAJOR_VER:= 0xC
minor_version
minor_version.
This is the minor TACACS+ version number.
これはマイナーTACACSのバージョン番号です。
TAC_PLUS_MINOR_VER_DEFAULT := 0x0
TAC_PLUS_MINOR_VER_DEFAULT:= 0x0
TAC_PLUS_MINOR_VER_ONE := 0x1
TAC_PLUS_MINOR_VER_ONE:= 0x1
type
タイプ
This is the packet type.
これはパケットタイプです。
Options are:
オプションは次のとおりです。
TAC_PLUS_AUTHEN := 0x01 (Authentication)
TAC_PLUS_AUTHEN:= 0x01(認証)
TAC_PLUS_AUTHOR := 0x02 (Authorization)
tac_plus_author:= 0x02(承認)
TAC_PLUS_ACCT := 0x03 (Accounting)
TAC_PLUS_ACCT:= 0x03(アカウンティング)
seq_no
SEQ NO
This is the sequence number of the current packet. The first packet in a session MUST have the sequence number 1, and each subsequent packet will increment the sequence number by one. TACACS+ clients only send packets containing odd sequence numbers, and TACACS+ servers only send packets containing even sequence numbers.
これは現在のパケットのシーケンス番号です。セッション内の最初のパケットはシーケンス番号1を持ち、後続の各パケットはシーケンス番号を1つインクリメントします。TACACSクライアントは奇数シーケンス番号を含むパケットのみを送信し、TACACSサーバはシーケンス番号を含むパケットのみを送信します。
The sequence number must never wrap, i.e., if the sequence number 2^(8)-1 is ever reached, that session must terminate and be restarted with a sequence number of 1.
シーケンス番号は、シーケンス番号2 ^(8)-1がこれまでに到達したことがなく、そのセッションは終了し、シーケンス番号1のシーケンス番号で再起動する必要があります。
flags
旗
This field contains various bitmapped flags.
このフィールドにはさまざまなビットマップフラグが含まれています。
The flag bit:
フラグビット:
TAC_PLUS_UNENCRYPTED_FLAG := 0x01
TAC_PLUS_UNENCRYPTED_FLAG:= 0x01.
This flag indicates that the sender did not obfuscate the body of the packet. This option MUST NOT be used in production. The application of this flag will be covered in "Security Considerations" (Section 10).
このフラグは、送信者がパケットの本文を難読化しなかったことを示します。このオプションは生産に使用してはいけません。このフラグの適用は「セキュリティ上の考慮事項」でカバーされます(セクション10)。
This flag SHOULD be clear in all deployments. Modern network traffic tools support encrypted traffic when configured with the shared secret (see "Shared Secrets" (Section 10.5.1)), so obfuscated mode can and SHOULD be used even during test.
このフラグはすべての展開で明確にする必要があります。現代のネットワークトラフィックツールは、共有秘密で構成されたときに暗号化されたトラフィックをサポートします(「共有秘密」(10.5.1節)を参照)、難読化モードでもテスト中でも使用する必要があります。
The single-connection flag:
シングル接続フラグ:
TAC_PLUS_SINGLE_CONNECT_FLAG := 0x04
tac_plus_single_connect_flag:= 0x04
This flag is used to allow a client and server to negotiate "Single Connection Mode" (Section 4.3).
このフラグは、クライアントとサーバーが「シングル接続モード」をネゴシエートできるようにします(セクション4.3)。
All other bits MUST be ignored when reading, and SHOULD be set to zero when writing.
読み込んだときに他のすべてのビットは無視されなければならず、書き込み時にゼロに設定する必要があります。
session_id
セッションID
The Id for this TACACS+ session. This field does not change for the duration of the TACACS+ session. This number MUST be generated by a cryptographically strong random number generation method. Failure to do so will compromise security of the session. For more details, refer to [RFC4086].
このTACACSセッションのID。このフィールドはTACACSセッションの間は変わりません。この数は暗号的に強い乱数生成方法によって生成されなければならない。そうしないと、セッションのセキュリティが危険にさらされます。詳細については、[RFC4086]を参照してください。
length
長さ
The total length of the packet body (not including the header). Implementations MUST allow control over maximum packet sizes accepted by TACACS+ Servers. The recommended maximum packet size is 2^(16).
パケット本体の全長(ヘッダを含まない)。実装は、TACACSサーバによって受け入れられた最大パケットサイズを制御する必要があります。推奨最大パケットサイズは2 ^(16)です。
The TACACS+ body types are defined in the packet header. The next sections of this document will address the contents of the different TACACS+ bodies.
TACACS本体の種類はパケットヘッダーに定義されています。この文書の次のセクションでは、さまざまなTACAC本体の内容に対処します。
Single Connection Mode is intended to improve performance where there is a lot of traffic between a client and a server by allowing the client to multiplex multiple sessions on a single TCP connection.
シングル接続モードは、クライアントとサーバー間のトラフィックが多数のTCP接続で複数のセッションを多重化できるようにすることによって、パフォーマンスを向上させることを目的としています。
The packet header contains the TAC_PLUS_SINGLE_CONNECT_FLAG used by the client and server to negotiate the use of Single Connection Mode.
パケットヘッダーには、単一接続モードの使用をネゴシエートするために、クライアントとサーバーによって使用されるTAC_PLUS_SINGLE_CONNECT_FLAGが含まれています。
The client sets this flag to indicate that it supports multiplexing TACACS+ sessions over a single TCP connection. The client MUST NOT send a second packet on a connection until single-connect status has been established.
クライアントは、単一のTCP接続を介してTACACSセッションを多重化することをサポートするようにこのフラグを設定します。シングルコネクトステータスが確立されるまで、クライアントは接続に2番目のパケットを送信してはなりません。
To indicate it will support Single Connection Mode, the server sets this flag in the first reply packet in response to the first request from a client. The server may set this flag even if the client does not set it, but the client may ignore the flag and close the connection after the session completes.
それが単一の接続モードをサポートすることを示すために、サーバーはクライアントからの最初の要求に応答して最初の返信パケットにこのフラグを設定します。クライアントが設定しなくてもサーバーはこのフラグを設定することができますが、クライアントはフラグを無視してセッションが完了した後に接続を閉じることができます。
The flag is only relevant for the first two packets on a connection, to allow the client and server to establish Single Connection Mode. No provision is made for changing Single Connection Mode after the first two packets; the client and server MUST ignore the flag after the second packet on a connection.
クライアントとサーバーが単一の接続モードを確立できるように、フラグは接続上の最初の2つのパケットにのみ関連しています。最初の2つのパケットの後に単一の接続モードを変更するための規定はありません。クライアントとサーバーは、接続上の2番目のパケットの後にフラグを無視する必要があります。
If Single Connection Mode has not been established in the first two packets of a TCP connection, then both the client and the server close the connection at the end of the first session.
TCP接続の最初の2つのパケットにシングル接続モードが確立されていない場合は、クライアントとサーバーの両方が最初のセッションの終了時に接続を閉じます。
The client negotiates Single Connection Mode to improve efficiency. The server may refuse to allow Single Connection Mode for the client. For example, it may not be appropriate to allocate a long-lasting TCP connection to a specific client in some deployments. Even if the server is configured to permit Single Connection Mode for a specific client, the server may close the connection. For example, a server MUST be configured to time out a Single Connection Mode TCP connection after a specific period of inactivity to preserve its resources. The client MUST accommodate such closures on a TCP session even after Single Connection Mode has been established.
クライアントは効率を改善するために単一の接続モードを交渉します。サーバーはクライアントの単一の接続モードを許可することを拒否することがあります。たとえば、一部の展開で特定のクライアントに長持ちするTCP接続を割り当てることは適切ではないかもしれません。サーバーが特定のクライアントに対してシングル接続モードを許可するように構成されていても、サーバーは接続を閉じることがあります。たとえば、サーバーは、そのリソースを保持するために、特定の不活動期間の後に単一の接続モードのTCP接続をタイムアウトするように設定する必要があります。クライアントは、シングル接続モードが確立された後でも、TCPセッションでそのようなクロージャを収容する必要があります。
The TCP connection underlying the Single Connection Mode will close eventually either because of the timeout from the server or from an intermediate link. If a session is in progress when the client detects disconnect, then the client should handle it as described in "Session Completion" (Section 4.4). If a session is not in progress, then the client will need to detect this and restart the Single Connection Mode when it initiates the next session.
シングル接続モードの基礎となるTCP接続は、サーバーからのタイムアウトまたは中間リンクからのどちらかの場合も最終的に閉じます。クライアントが切断を検出したときにセッションが進行中の場合、クライアントは「セッション完了」(セクション4.4)の説明に従って処理する必要があります。セッションが進行中でない場合、クライアントはこれを検出し、次のセッションを開始するときに単一の接続モードを再起動する必要があります。
The REPLY packets defined for the packet types in the sections below (Authentication, Authorization, and Accounting) contain a status field. The complete set of options for this field depend upon the packet type, but all three REPLY packet types define values representing PASS, ERROR, and FAIL, which indicate the last packet of a regular session (one that is not aborted).
以下のセクション(認証、承認、およびアカウンティング)のパケットタイプに定義されている返信パケットには、ステータスフィールドが含まれています。このフィールドのオプションの完全なセットはパケットの種類によって異なりますが、3つの返信パケットタイプすべてがパス、エラー、および失敗を表す値を定義します。これは、通常のセッションの最後のパケット(中断されないもの)を示します。
The server responds with a PASS or a FAIL to indicate that the processing of the request completed and that the client can apply the result (PASS or FAIL) to control the execution of the action that prompted the request to be sent to the server.
サーバーはパスで応答し、要求の処理が完了したこと、およびクライアントが結果を適用できることを示す(パスまたは失敗)、要求をサーバーに送信されるように指示されたアクションの実行を制御できることを示します。
The server responds with an ERROR to indicate that the processing of the request did not complete. The client cannot apply the result, and it MUST behave as if the server could not be connected to. For example, the client tries alternative methods, if they are available, such as sending the request to a backup server or using local configuration to determine whether the action that prompted the request should be executed.
サーバーはエラーで応答して、要求の処理が完了しなかったことを示します。クライアントは結果を適用することはできず、サーバーが接続できなかったかのように動作する必要があります。たとえば、クライアントは、要求をバックアップサーバーに送信する、またはローカル構成を使用して要求を実行したアクションを実行する必要があるかどうかを判断するなど、使用可能な方法で代替方法を試みます。
Refer to "Aborting an Authentication Session" (Section 5.4.3) for details on handling additional status options.
追加のステータスオプションの処理の詳細については、「認証セッションの中止」(5.4.3項)を参照してください。
When the session is complete, the TCP connection should be handled as follows, according to whether Single Connection Mode was negotiated:
セッションが完了すると、シングル接続モードがネゴシエートされたかどうかに応じて、TCP接続を次のように処理する必要があります。
* If Single Connection Mode was not negotiated, then the connection should be closed.
* 単一の接続モードがネゴシエートされなかった場合、接続は閉じてください。
* If Single Connection Mode was enabled, then the connection SHOULD be left open (see "Single Connection Mode" (Section 4.3)) but may still be closed after a timeout period to preserve deployment resources.
* シングル接続モードが有効になっている場合は、接続を開いたままにする必要があります(「シングル接続モード」(セクション4.3))は、展開リソースを保持するためのタイムアウト期間の後に閉じている可能性があります。
* If Single Connection Mode was enabled, but an ERROR occurred due to connection issues (such as an incorrect secret (see Section 4.5)), then any further new sessions MUST NOT be accepted on the connection. If there are any sessions that have already been established, then they MAY be completed. Once all active sessions are completed, then the connection MUST be closed.
* シングル接続モードが有効になっていたが、接続の問題(誤った秘密など)のためにエラーが発生した場合(セクション4.5を参照)、それ以外の新しいセッションは接続に受け入れられてはならない。すでに確立されているセッションがある場合は、完了することができます。すべてのアクティブセッションが完了すると、接続を閉じる必要があります。
It is recommended that client implementations provide robust schemes for dealing with servers that cannot be connected to. Options include providing a list of servers for redundancy and an option for a local fallback configuration if no servers can be reached. Details will be implementation specific.
接続できないサーバーを扱うための堅牢なスキームを提供することをお勧めします。オプションには、サーバーに到達できない場合は、冗長性のためのサーバーのリストとローカルフォールバック設定のオプションを提供することがあります。詳細は実装固有のものです。
The client should manage connections and handle the case of a server that establishes a connection but does not respond. The exact behavior is implementation specific. It is recommended that the client close the connection after a configurable timeout.
クライアントは接続を管理し、接続を確立するサーバーのケースを処理する必要がありますが応答しません。正確な動作は実装固有です。設定可能なタイムアウト後にクライアントが接続を閉じることをお勧めします。
The body of packets may be obfuscated. The following sections describe the obfuscation method that is supported in the protocol. In "The Draft", this process was actually referred to as Encryption, but the algorithm would not meet modern standards and so will not be termed as encryption in this document.
パケットの本体が難読化されている可能性があります。次のセクションでは、プロトコルでサポートされている難読化方法について説明します。「ドラフト」では、このプロセスは実際には暗号化と呼ばれていましたが、アルゴリズムは現代の標準を満たしていないため、この文書では暗号化と呼ばれません。
The obfuscation mechanism relies on a secret key, a shared secret value that is known to both the client and the server. The secret keys MUST remain secret.
難読化メカニズムは、クライアントとサーバーの両方に認識されている共有秘密値である秘密鍵に依存しています。秘密の鍵は秘密のままでなければなりません。
Server implementations MUST allow a unique secret key to be associated with each client. It is a site-dependent decision as to whether or not the use of separate keys is appropriate.
サーバー実装では、各クライアントに固有の秘密鍵を関連付けることができます。別々のキーの使用が適切であるかどうかに関してサイトに依存する決定です。
The flag field MUST be configured with TAC_PLUS_UNENCRYPTED_FLAG set to 0 so that the packet body is obfuscated by XORing it bytewise with a pseudo-random pad:
フラグフィールドは、パケット本体が擬似ランダムなパッドでXORingで難読化されるように、TAC_PLUS_UNENCRYPTED_FLAGを0に設定する必要があります。
ENCRYPTED {data} = data ^(pseudo_pad)
The packet body can then be de-obfuscated by XORing it bytewise with a pseudo-random pad.
次いで、パケット本体は、擬似ランダムパッドでXORing ITをXORingすることによって汚染されることができる。
data = ENCRYPTED {data} ^(pseudo_pad)
The pad is generated by concatenating a series of MD5 hashes (each 16 bytes long) and truncating it to the length of the input data. Whenever used in this document, MD5 refers to the "RSA Data Security, Inc. MD5 Message-Digest Algorithm" as specified in [RFC1321].
パッドは、一連のMD5ハッシュ(各16バイト)を連結し、それを入力データの長さに切り捨てることによって生成されます。このドキュメントで使用されるときはいつでも、MD5は[RFC1321]で指定されている「RSA Data Security、Inc。MD5メッセージ - ダイジェストアルゴリズム」を指します。
pseudo_pad = {MD5_1 [,MD5_2 [ ... ,MD5_n]]} truncated to len(data)
The first MD5 hash is generated by concatenating the session_id, the secret key, the version number, and the sequence number, and then running MD5 over that stream. All of those input values are available in the packet header, except for the secret key, which is a shared secret between the TACACS+ client and server.
最初のMD5ハッシュは、session_id、secretキー、バージョン番号、およびシーケンス番号を連結してから、そのストリームを介してMD5を実行することによって生成されます。これらの入力値はすべて、TACACSクライアントとサーバー間の共有秘密であるSecretキーを除き、パケットヘッダーで使用できます。
The version number and session_id are extracted from the header.
バージョン番号とsession_idがヘッダーから抽出されます。
Subsequent hashes are generated by using the same input stream but concatenating the previous hash value at the end of the input stream.
後続のハッシュは、同じ入力ストリームを使用するが、入力ストリームの最後に前のハッシュ値を連結することによって生成される。
MD5_1 = MD5{session_id, key, version, seq_no} MD5_2 = MD5{session_id, key, version, seq_no, MD5_1} .... MD5_n = MD5{session_id, key, version, seq_no, MD5_n-1}
When a server detects that the secrets it has configured for the device do not match, it MUST return ERROR. For details of TCP connection handling on ERROR, refer to "Session Completion" (Section 4.4).
サーバーがデバイスに設定されている秘密が一致しないことをサーバーで検出すると、エラーが返されなければなりません。エラー時のTCP接続処理の詳細については、「セッション完了」(セクション4.4)を参照してください。
TAC_PLUS_UNENCRYPTED_FLAG == 0x1
TAC_PLUS_UNENCRYPTED_FLAG == 0x1
This option is deprecated and MUST NOT be used in production. In this case, the entire packet body is in cleartext. A request MUST be dropped if TAC_PLUS_UNENCRYPTED_FLAG is set to true.
このオプションは推奨されていないため、製造に使用しないでください。この場合、パケット本体全体がクリアテキストにあります。TAC_PLUS_UNENCRYPTED_FLAGがTRUEに設定されている場合は、要求をドロップする必要があります。
After a packet body is de-obfuscated, the lengths of the component values in the packet are summed. If the sum is not identical to the cleartext datalength value from the header, the packet MUST be discarded and an ERROR signaled. For details of TCP connection handling on ERROR, refer to "Session Completion" (Section 4.4).
パケット本体が劣化した後、パケット内のコンポーネント値の長さが合計されます。合計がヘッダーからのClearText DataLength値と同じでない場合、パケットは破棄され、エラーがシグナリングされなければなりません。エラー時のTCP接続処理の詳細については、「セッション完了」(セクション4.4)を参照してください。
Commonly, such failures are seen when the keys are mismatched between the client and the TACACS+ server.
一般に、そのような障害は、キーがクライアントとTACACSサーバとの間で不一致のときに見られます。
Authentication is the action of determining who a user (or entity) is. Authentication can take many forms. Traditional authentication employs a name and a fixed password. However, fixed passwords are vulnerable security, so many modern authentication mechanisms utilize "one-time" passwords or a challenge-response query. TACACS+ is designed to support all of these and be flexible enough to handle any future mechanisms. Authentication generally takes place when the user first logs in to a machine or requests a service of it.
認証は、ユーザー(またはエンティティ)が誰であるかを判断するアクションです。認証は多くの形式を取ります。従来の認証は名前と固定のパスワードを採用しています。ただし、固定パスワードは脆弱なセキュリティであるため、最新の認証メカニズムが「ワンタイム」パスワードまたはチャレンジ対応クエリを利用しています。TACACSはこれらすべてをサポートし、将来のメカニズムを処理するのに十分柔軟性があります。認証は一般的に、ユーザーが最初にマシンにログインしたり、そのサービスを要求したときに行われます。
Authentication is not mandatory; it is a site-configured option. Some sites do not require it. Others require it only for certain services (see "Authorization" (Section 6)). Authentication may also take place when a user attempts to gain extra privileges and must identify himself or herself as someone who possesses the required information (passwords, etc.) for those privileges.
認証は必須ではありません。サイト設定オプションです。いくつかのサイトはそれを必要としません。他の人は特定のサービスに対してのみ必要です(「承認」(セクション6)を参照)。認証は、ユーザーが追加の特権を獲得しようとし、必要な情報(パスワードなど)を所有している人として自分自身を識別しなければなりません。
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 +----------------+----------------+----------------+----------------+ | action | priv_lvl | authen_type | authen_service | +----------------+----------------+----------------+----------------+ | user_len | port_len | rem_addr_len | data_len | +----------------+----------------+----------------+----------------+ | user ... +----------------+----------------+----------------+----------------+ | port ... +----------------+----------------+----------------+----------------+ | rem_addr ... +----------------+----------------+----------------+----------------+ | data... +----------------+----------------+----------------+----------------+
Packet fields are as follows:
パケットフィールドは次のとおりです。
action
アクション
This indicates the authentication action.
これは認証アクションを示します。
Valid values are:
有効な値は次のとおりです。
TAC_PLUS_AUTHEN_LOGIN := 0x01
tac_plus_authen_login:= 0x01.
TAC_PLUS_AUTHEN_CHPASS := 0x02
TAC_PLUS_AUTHEN_CHPASS:= 0x02
TAC_PLUS_AUTHEN_SENDAUTH := 0x04
tac_plus_authen_sendauth:= 0x04
priv_lvl
priv_lvl
This indicates the privilege level that the user is authenticating as. Please refer to "Privilege Levels" (Section 9).
これは、ユーザーが認証している権限レベルを示しています。「特権レベル」を参照してください(セクション9)。
authen_type
authen_type.
The type of authentication. Please see "Common Authentication Flows" (Section 5.4.2).
認証の種類「共通認証フロー」(セクション5.4.2)を参照してください。
Valid values are:
有効な値は次のとおりです。
TAC_PLUS_AUTHEN_TYPE_ASCII := 0x01
TAC_PLUS_AUTHEN_TYPE_ASCII:= 0x01.
TAC_PLUS_AUTHEN_TYPE_PAP := 0x02
tac_plus_authen_type_pap:= 0x02
TAC_PLUS_AUTHEN_TYPE_CHAP := 0x03
TAC_PLUS_AUTHEN_TYPE_CHAP:= 0x03
TAC_PLUS_AUTHEN_TYPE_MSCHAP := 0x05
tac_plus_authen_type_mschap:= 0x05
TAC_PLUS_AUTHEN_TYPE_MSCHAPV2 := 0x06
tac_plus_authen_type_mschapv2:= 0x06
authen_service
authen_service.
This is the service that is requesting the authentication.
これは認証を要求しているサービスです。
Valid values are:
有効な値は次のとおりです。
TAC_PLUS_AUTHEN_SVC_NONE := 0x00
tac_plus_authen_svc_none:= 0x00
TAC_PLUS_AUTHEN_SVC_LOGIN := 0x01
TAC_PLUS_AUTHEN_SVC_LOGIN:= 0x01.
TAC_PLUS_AUTHEN_SVC_ENABLE := 0x02
tac_plus_authen_svc_enable:= 0x02
TAC_PLUS_AUTHEN_SVC_PPP := 0x03
TAC_PLUS_AUTHEN_SVC_PPP:= 0x03
TAC_PLUS_AUTHEN_SVC_PT := 0x05
tac_plus_authen_svc_pt:= 0x05
TAC_PLUS_AUTHEN_SVC_RCMD := 0x06
TAC_PLUS_AUTHEN_SVC_RCMD:= 0x06
TAC_PLUS_AUTHEN_SVC_X25 := 0x07
TAC_PLUS_AUTHEN_SVC_X25:= 0x07
TAC_PLUS_AUTHEN_SVC_NASI := 0x08
TAC_PLUS_AUTHEN_SVC_NASI:= 0x08
TAC_PLUS_AUTHEN_SVC_FWPROXY := 0x09
tac_plus_authen_svc_fwproxy:= 0x09
The TAC_PLUS_AUTHEN_SVC_NONE option is intended for the authorization application of this field that indicates that no authentication was performed by the device.
tac_plus_authen_svc_noneオプションは、このフィールドの認証アプリケーションを対象としており、デバイスによって認証が行われていないことを示します。
The TAC_PLUS_AUTHEN_SVC_LOGIN option indicates regular login (as opposed to ENABLE) to a client device.
TAC_PLUS_AUTHEN_SVC_LOGINオプションは、クライアントデバイスへの通常のログイン(有効とは対照的に)を示します。
The TAC_PLUS_AUTHEN_SVC_ENABLE option identifies the ENABLE authen_service, which refers to a service requesting authentication in order to grant the user different privileges. This is comparable to the Unix "su(1)" command, which substitutes the current user's identity with another. An authen_service value of NONE is only to be used when none of the other authen_service values are appropriate. ENABLE may be requested independently; no requirements for previous authentications or authorizations are imposed by the protocol.
tac_plus_authen_svc_enableオプションは、authen_serviceを有効にします。これは、ユーザーの異なる権限を付与するための認証を要求するサービスを参照します。これはUNIX "su(1)"コマンドに匹敵します。これは、現在のユーザーの身元を別のユーザーの身元と置き換えます。AUTHEN_SERVICE値NONEの値は、他のAuthen_Service値が適切な場合にのみ使用されます。有効化は独立して要求されることがあります。以前の認証または承認に対する要件はプロトコルによって課されません。
Other options are included for legacy/backwards compatibility.
レガシー/後方互換性のために他のオプションが含まれています。
user, user_len
ユーザー、USER_LEN
The username is optional in this packet, depending upon the class of authentication. If it is absent, the client MUST set user_len to 0. If included, the user_len indicates the length of the user field, in bytes.
認証クラスによっては、このパケットでは、ユーザー名はオプションです。それが存在しない場合、クライアントはUSER_LENを0に設定する必要があります。含まれている場合、USER_LENはユーザーフィールドの長さ(バイト単位)を示します。
port, port_len
ポート、ポート - レン
The name of the client port on which the authentication is taking place. The value of this field is free-format text and is client specific. Examples of this argument include "tty10" to denote the tenth tty line, and "async10" to denote the tenth async interface. The client documentation SHOULD define the values and their meanings for this field. For details of text encoding, see "Treatment of Text Strings" (Section 3.7). The port_len indicates the length of the port field, in bytes.
認証が行われているクライアントポートの名前。このフィールドの値はフリーフォーマットのテキストであり、クライアント固有です。この引数の例には、10番目のTTY行を表す "TTY10"、および10番目の非同期インターフェイスを示す "ASYNC10"が含まれます。クライアントのマニュアルは、このフィールドの値とその意味を定義する必要があります。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。PORT_LENは、ポートフィールドの長さ(バイト単位)を示します。
rem_addr, rem_addr_len
rem_addr、rem_addr_len.
A string indicating the remote location from which the user has connected to the client. For details of text encoding, see "Treatment of Text Strings" (Section 3.7).
ユーザーがクライアントに接続しているリモートの場所を示す文字列。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。
When TACACS+ was used for dial-up services, this value contained the caller ID.
TACACSがダイヤルアップサービスに使用されたとき、この値は発信者IDを含みました。
When TACACS+ is used for Device Administration, the user is normally connected via a network, and in this case, the value is intended to hold a network address, IPv4 or IPv6. For IPv6 address text representation defined, please see [RFC5952].
TACACSがデバイス管理に使用されている場合、ユーザーは通常ネットワークを介して接続され、この場合、その値はネットワークアドレス、IPv4、またはIPv6を保持することを目的としています。IPv6アドレステキスト表現を定義した場合は、[RFC5952]を参照してください。
This field is optional (since the information may not be available). The rem_addr_len indicates the length of the user field, in bytes.
このフィールドはオプションです(情報は利用できない場合があります)。REM_ADDR_LENは、ユーザーフィールドの長さ(バイト単位)を示します。
data, data_len
データ、DATA_LEN
The data field is used to send data appropriate for the action and authen_type. It is described in more detail in "Common Authentication Flows" (Section 5.4.2). The data_len field indicates the length of the data field, in bytes.
データフィールドは、アクションとauthen_typeに適したデータを送信するために使用されます。「共通認証フロー」(セクション5.4.2)で詳しく説明されています。DATA_LENフィールドは、データフィールドの長さ(バイト単位)を示します。
The TACACS+ server sends only one type of authentication packet (a REPLY packet) to the client.
TACACSサーバは、クライアントに1種類の認証パケット(返信パケット)のみを送信します。
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 +----------------+----------------+----------------+----------------+ | status | flags | server_msg_len | +----------------+----------------+----------------+----------------+ | data_len | server_msg ... +----------------+----------------+----------------+----------------+ | data ... +----------------+----------------+
status
状態
The current status of the authentication.
認証の現在のステータス。
Valid values are:
有効な値は次のとおりです。
TAC_PLUS_AUTHEN_STATUS_PASS := 0x01
TAC_PLUS_AUTHEN_STATUS_PASS:= 0x01
TAC_PLUS_AUTHEN_STATUS_FAIL := 0x02
tac_plus_authen_status_fail:= 0x02
TAC_PLUS_AUTHEN_STATUS_GETDATA := 0x03
TAC_PLUS_AUTHEN_STATUS_GETDATA:= 0x03
TAC_PLUS_AUTHEN_STATUS_GETUSER := 0x04
tac_plus_authen_status_getuser:= 0x04
TAC_PLUS_AUTHEN_STATUS_GETPASS := 0x05
TAC_PLUS_AUTHEN_STATUS_GETPASS:= 0x05
TAC_PLUS_AUTHEN_STATUS_RESTART := 0x06
TAC_PLUS_AUTHEN_STATUS_RESTART:= 0x06
TAC_PLUS_AUTHEN_STATUS_ERROR := 0x07
TAC_PLUS_AUTHEN_STATUS_ERROR:= 0x07
TAC_PLUS_AUTHEN_STATUS_FOLLOW := 0x21
tac_plus_authen_status_follow:= 0x21
flags
旗
Bitmapped flags that modify the action to be taken.
取られるアクションを変更するビットマップフラグ。
The following values are defined:
以下の値が定義されています。
TAC_PLUS_REPLY_FLAG_NOECHO := 0x01
tac_plus_reply_flag_noecho:= 0x01
server_msg, server_msg_len
server_msg、server_msg_len.
A message to be displayed to the user. This field is optional. The server_msg_len indicates the length of the server_msg field, in bytes. For details of text encoding, see "Treatment of Text Strings" (Section 3.7).
ユーザーに表示されるメッセージ。このフィールドはオプションです。server_msg_lenは、bytes単位でserver_msgフィールドの長さを示します。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。
data, data_len
データ、DATA_LEN
A field that holds data that is a part of the authentication exchange and is intended for client processing, not the user. It is not a printable text encoding. Examples of its use are shown in "Common Authentication Flows" (Section 5.4.2). The data_len indicates the length of the data field, in bytes.
認証交換の一部であるデータを保持するフィールドは、ユーザーではなくクライアント処理を目的としています。印刷可能なテキストエンコーディングではありません。その使用例は、「共通認証フロー」(5.4.2項)に表示されます。DATA_LENは、データフィールドの長さをバイト単位で示します。
This packet is sent from the client to the server following the receipt of a REPLY packet.
このパケットは、返信パケットの受信後にクライアントからサーバに送信されます。
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 +----------------+----------------+----------------+----------------+ | user_msg len | data_len | +----------------+----------------+----------------+----------------+ | flags | user_msg ... +----------------+----------------+----------------+----------------+ | data ... +----------------+
user_msg, user_msg_len
user_msg、user_msg_len
A field that is the string that the user entered, or the client provided on behalf of the user, in response to the server_msg from a REPLY packet. The user_len indicates the length of the user field, in bytes.
ユーザが入力した文字列、または返信パケットからのserver_msgに応答して、ユーザに代わって提供されるクライアントであるフィールド。USER_LENは、ユーザーフィールドの長さ(バイト単位)を示します。
data, data_len
データ、DATA_LEN
This field carries information that is specific to the action and the authen_type for this session. Valid uses of this field are described below. It is not a printable text encoding. The data_len indicates the length of the data field, in bytes.
このフィールドには、このセッションのアクションとauthen_typeに固有の情報があります。このフィールドの有効な用途について説明します。印刷可能なテキストエンコーディングではありません。DATA_LENは、データフィールドの長さをバイト単位で示します。
flags
旗
This holds the bitmapped flags that modify the action to be taken.
これにより、取られるアクションを変更するビットマップフラグが保持されています。
The following values are defined:
以下の値が定義されています。
TAC_PLUS_CONTINUE_FLAG_ABORT := 0x01
tac_plus_continue_flag_abort:= 0x01.
The action, authen_type, and authen_service fields (described above) combine to indicate what kind of authentication is to be performed. Every authentication START, REPLY, and CONTINUE packet includes a data field. The use of this field is dependent upon the kind of authentication.
アクション、authen_type、およびauthen_serviceフィールド(上記の)は、どのような認証を実行するかを示すために結合します。パケットごとに、認証開始、応答、および続行はすべてデータフィールドが含まれています。このフィールドの使用は認証の種類によって異なります。
This document defines a core set of authentication flows to be supported by TACACS+. Each authentication flow consists of a START packet. The server responds either with a request for more information (GETDATA, GETUSER, or GETPASS) or a termination PASS, FAIL, ERROR, or RESTART. The actions and meanings when the server sends a RESTART or ERROR are common and are described further below.
この文書は、TACACSによってサポートされるべき認証フローのコアセットを定義します。各認証フローは開始パケットで構成されています。サーバーは、より多くの情報(getData、getUser、またはGetPass)または終了パス、失敗、エラー、または再起動の要求で応答します。サーバーが再起動またはエラーを送信するときのアクションと意味は一般的であり、以下でさらに説明されています。
When the REPLY status equals TAC_PLUS_AUTHEN_STATUS_GETDATA, TAC_PLUS_AUTHEN_STATUS_GETUSER, or TAC_PLUS_AUTHEN_STATUS_GETPASS, authentication continues and the server SHOULD provide server_msg content for the client to prompt the user for more information. The client MUST then return a CONTINUE packet containing the requested information in the user_msg field.
応答ステータスがTAC_PLUS_AUTHEN_STATUS_GETDATA、TAC_PLUS_AUTHEN_STATUS_GETUSER、またはTAC_PLUS_AUTHEN_STATUS_GETPASS、認証は続行され、サーバーはユーザーに詳細についてユーザーに促すためのServer_MSGコンテンツを提供する必要があります。その後、クライアントは、user_msgフィールドに要求された情報を含む続行パケットを返す必要があります。
The client should interpret TAC_PLUS_AUTHEN_STATUS_GETUSER as a request for a username and TAC_PLUS_AUTHEN_STATUS_GETPASS as a request for a password. The TAC_PLUS_AUTHEN_STATUS_GETDATA is the generic request for more information to flexibly support future requirements.
クライアントは、パスワードの要求として、ユーザー名とTAC_PLUS_AUTHEN_STATASS_GETPASSの要求としてTAC_PLUS_AUTHEN_STATUS_GETUSERを解釈する必要があります。TAC_PLUS_AUTHEN_STATUS_GETDATAは、将来の要件を柔軟にサポートするための詳細についての一般的な要求です。
If the information being requested by the server from the client is sensitive, then the server should set the TAC_PLUS_REPLY_FLAG_NOECHO flag. When the client queries the user for the information, the response MUST NOT be reflected in the user interface as it is entered.
クライアントからサーバーによって要求されている情報が敏感である場合、サーバーはTAC_PLUS_REPLY_FLAG_NOECHOフラグを設定する必要があります。クライアントがその情報のユーザーに問い合わせると、応答は入力されたときにユーザーインターフェイスに反映されてはいけません。
The data field is only used in the REPLY where explicitly defined below.
データフィールドは、以下で明示的に定義された場合の返信でのみ使用されます。
The TACACS+ protocol is versioned to allow revisions while maintaining backwards compatibility. The version number is in every packet header. The changes between minor_version 0 and 1 apply only to the authentication process, and all deal with the way that Challenge Handshake Authentication Protocol (CHAP) and Password Authentication Protocol (PAP) authentications are handled. minor_version 1 may only be used for authentication kinds that explicitly call for it in the table below:
TACACSプロトコルは、後方互換性を維持しながらリビジョンを許可するためにバージョン管理されています。バージョン番号はすべてのパケットヘッダーにあります。minor_version 0と1の変化は認証プロセスにのみ適用され、ハンドシェイク認証プロトコル(CHAP)とパスワード認証プロトコル(PAP)認証にチャレンジする方法とすべて対処されます。minor_version 1は、下の表で明示的に呼び出す認証種別にのみ使用できます。
+-------------+-------+--------+----------+ | | LOGIN | CHPASS | SENDAUTH | +-------------+-------+--------+----------+ | ASCII | v0 | v0 | - | +-------------+-------+--------+----------+ | PAP | v1 | - | v1 | +-------------+-------+--------+----------+ | CHAP | v1 | - | v1 | +-------------+-------+--------+----------+ | MS-CHAPv1/2 | v1 | - | v1 | +-------------+-------+--------+----------+
Table 1: TACACS+ Protocol Versioning
表1:TACACSプロトコルのバージョン管理
The '-' symbol represents that the option is not valid.
' - '記号は、オプションが無効であることを表します。
All authorization and accounting and ASCII authentication use minor_version 0.
すべての承認および会計およびASCII認証はminor_version 0を使用します。
PAP, CHAP, and MS-CHAP login use minor_version 1. The normal exchange is a single START packet from the client and a single REPLY from the server.
PAP、CHAP、およびMS-CHAPログインminor_version 1.通常のExchangeは、クライアントからの単一のスタートパケットとサーバーからの単一の応答です。
The removal of SENDPASS was prompted by security concerns and is no longer considered part of the TACACS+ protocol.
Sendpassの削除はセキュリティ上の懸念によって促され、TACACSプロトコルの一部と見なされなくなりました。
This section describes common authentication flows. If the server does not implement an option, it MUST respond with TAC_PLUS_AUTHEN_STATUS_FAIL.
このセクションでは、一般的な認証フローについて説明します。サーバーがオプションを実装していない場合は、TAC_PLUS_AUTHEN_STATUS_FAILで応答する必要があります。
action = TAC_PLUS_AUTHEN_LOGIN authen_type = TAC_PLUS_AUTHEN_TYPE_ASCII minor_version = 0x0
action = tac_plus_authen_login authen_type = tac_plus_authen_type_ascii minor_version = 0x0
This is a standard ASCII authentication. The START packet MAY contain the username. If the user does not include the username, then the server MUST obtain it from the client with a CONTINUE TAC_PLUS_AUTHEN_STATUS_GETUSER. If the user does not provide a username, then the server can send another TAC_PLUS_AUTHEN_STATUS_GETUSER request, but the server MUST limit the number of retries that are permitted; the recommended limit is three attempts. When the server has the username, it will obtain the password using a continue with TAC_PLUS_AUTHEN_STATUS_GETPASS. ASCII login uses the user_msg field for both the username and password. The data fields in both the START and CONTINUE packets are not used for ASCII logins; any content MUST be ignored. The session is composed of a single START followed by zero or more pairs of REPLYs and CONTINUEs, followed by a final REPLY indicating PASS, FAIL, or ERROR.
これは標準のASCII認証です。開始パケットにはユーザー名を含めることができます。ユーザーにユーザー名が含まれていない場合、サーバーは続行TAC_PLUS_AUTHEN_STATUS_GETUSERを使用してクライアントからそれを取得する必要があります。ユーザーがユーザー名を指定していない場合、サーバーは別のTAC_PLUS_AUTHEN_STATUS_GETUSER要求を送信できますが、サーバーは許可されている再試行回数を制限する必要があります。推奨される制限は3回の試行です。サーバーにユーザー名がある場合は、TAC_PLUS_AUTHEN_STATUS_GETPASSを継続して使用してパスワードを取得します。ASCIIログインは、ユーザー名とパスワードの両方にUSER_MSGフィールドを使用します。STARTパケットと続行パケットの両方のデータフィールドは、ASCIIログインには使用されません。コンテンツは無視されなければなりません。セッションは単一の開始とそれに続く0個以上のレプリケーションとからなり、続いてパス、フェイル、またはエラーが続く最終的な返信が続きます。
action = TAC_PLUS_AUTHEN_LOGIN authen_type = TAC_PLUS_AUTHEN_TYPE_PAP minor_version = 0x1
action = tac_plus_authen_login authen_type = tac_plus_authen_type_pap minor_version = 0x1
The entire exchange MUST consist of a single START packet and a single REPLY. The START packet MUST contain a username and the data field MUST contain the PAP ASCII password. A PAP authentication only consists of a username and password [RFC1334] (Obsolete). The REPLY from the server MUST be either a PASS, FAIL, or ERROR.
Exchange全体が単一のスタートパケットと1回の返信で構成されている必要があります。開始パケットにはユーザー名が含まれており、データフィールドにはPAP ASCIIパスワードが含まれている必要があります。PAP認証は、ユーザー名とパスワード[RFC1334](廃止)でのみ構成されています。サーバーからの応答は、パス、フェイル、またはエラーのいずれかでなければなりません。
action = TAC_PLUS_AUTHEN_LOGIN authen_type = TAC_PLUS_AUTHEN_TYPE_CHAP minor_version = 0x1
action = tac_plus_authen_login authen_type = tac_plus_authen_type_chap minor_version = 0x1
The entire exchange MUST consist of a single START packet and a single REPLY. The START packet MUST contain the username in the user field, and the data field is a concatenation of the PPP id, the challenge, and the response.
Exchange全体が単一のスタートパケットと1回の返信で構成されている必要があります。開始パケットには、ユーザーフィールドのユーザー名を含める必要があり、データフィールドはPPP ID、チャレンジ、および応答の連結です。
The length of the challenge value can be determined from the length of the data field minus the length of the id (always 1 octet) and the length of the response field (always 16 octets).
チャレンジ値の長さは、データフィールドの長さからIDの長さ(常に1オクテット)と応答フィールドの長さ(常に16オクテット)から決定できます。
To perform the authentication, the server calculates the PPP hash as defined in PPP Authentication [RFC1334] and then compares that value with the response. The MD5 algorithm option is always used. The REPLY from the server MUST be a PASS, FAIL, or ERROR.
認証を実行するには、サーバーはPPP認証[RFC1334]で定義されているようにPPPハッシュを計算し、その値を応答と比較します。MD5アルゴリズムオプションは常に使用されます。サーバーからの返信は、パス、フェイル、またはエラーである必要があります。
The selection of the challenge and its length are not an aspect of the TACACS+ protocol. However, it is strongly recommended that the client/endstation interaction be configured with a secure challenge. The TACACS+ server can help by rejecting authentications where the challenge is below a minimum length (minimum recommended is 8 bytes).
チャレンジとその長さの選択はTACACSプロトコルの一側面ではありません。ただし、クライアント/エンドステーションの相互作用を安全な課題で構成することを強くお勧めします。TACACSサーバーは、チャレンジが最小長さを下回っている認証を拒否するのに役立ちます(最小推奨は8バイトです)。
action = TAC_PLUS_AUTHEN_LOGIN authen_type = TAC_PLUS_AUTHEN_TYPE_MSCHAP minor_version = 0x1
action = tac_plus_authen_login authen_type = tac_plus_authen_type_mschap minor_version = 0x1
The entire exchange MUST consist of a single START packet and a single REPLY. The START packet MUST contain the username in the user field, and the data field will be a concatenation of the PPP id, the MS-CHAP challenge, and the MS-CHAP response.
Exchange全体が単一のスタートパケットと1回の返信で構成されている必要があります。開始パケットには、ユーザーフィールドのユーザー名を含める必要があり、データフィールドはPPP ID、MS-CHAPのチャレンジ、およびMS-CHAPの応答の連結になります。
The length of the challenge value can be determined from the length of the data field minus the length of the id (always 1 octet) and the length of the response field (always 49 octets).
チャレンジ値の長さは、データフィールドの長さからIDの長さ(常に1オクテット)と応答フィールドの長さ(常に49オクテット)から決定できます。
To perform the authentication, the server will use a combination of MD4 and DES on the user's secret and the challenge, as defined in [RFC2433], and then compare the resulting value with the response. The REPLY from the server MUST be a PASS or FAIL.
認証を実行するために、サーバーは[RFC2433]で定義されているように、ユーザーの秘密およびチャレンジのMD4とDESの組み合わせを使用してから、結果の値を応答と比較します。サーバーからの返信はパスまたは失敗でなければなりません。
For best practices, please refer to [RFC2433]. The TACACS+ server MUST reject authentications where the challenge deviates from 8 bytes as defined in the RFC.
ベストプラクティスの場合は、[RFC2433]を参照してください。TACACSサーバーは、RFCで定義されているように、チャレンジが8バイトから逸脱している認証を拒否しなければなりません。
action = TAC_PLUS_AUTHEN_LOGIN authen_type = TAC_PLUS_AUTHEN_TYPE_MSCHAPV2 minor_version = 0x1
action = tac_plus_authen_login authen_type = tac_plus_authen_type_mschapv2 minor_version = 0x1
The entire exchange MUST consist of a single START packet and a single REPLY. The START packet MUST contain the username in the user field, and the data field will be a concatenation of the PPP id, the MS-CHAP challenge, and the MS-CHAP response.
Exchange全体が単一のスタートパケットと1回の返信で構成されている必要があります。開始パケットには、ユーザーフィールドのユーザー名を含める必要があり、データフィールドはPPP ID、MS-CHAPのチャレンジ、およびMS-CHAPの応答の連結になります。
The length of the challenge value can be determined from the length of the data field minus the length of the id (always 1 octet) and the length of the response field (always 49 octets).
チャレンジ値の長さは、データフィールドの長さからIDの長さ(常に1オクテット)と応答フィールドの長さ(常に49オクテット)から決定できます。
To perform the authentication, the server will use the algorithm specified [RFC2759] on the user's secret and challenge, and then compare the resulting value with the response. The REPLY from the server MUST be a PASS or FAIL.
認証を実行するために、サーバーはユーザーの秘密とチャレンジの[RFC2759]を使用してから、結果の値を応答と比較します。サーバーからの返信はパスまたは失敗でなければなりません。
For best practices for MS-CHAP v2, please refer to [RFC2759]. The TACACS+ server MUST reject authentications where the challenge deviates from 16 bytes as defined in the RFC.
MS-CHAP V2のベストプラクティスについては、[RFC2759]を参照してください。TACACSサーバーは、RFCで定義されているように、チャレンジが16バイトから逸脱している認証を拒否する必要があります。
action = TAC_PLUS_AUTHEN_LOGIN priv_lvl = implementation dependent authen_type = not used service = TAC_PLUS_AUTHEN_SVC_ENABLE
ACTION = TAC_PLUS_AUTHEN_LOGIN PRIV_LVL =実装依存authen_type = UNSUSN SERVICE = TAC_PLUS_AUTHEN_SVC_ENABLE
This is an "ENABLE" request, used to change the current running privilege level of a user. The exchange MAY consist of multiple messages while the server collects the information it requires in order to allow changing the principal's privilege level. This exchange is very similar to an ASCII login (Section 5.4.2.1).
これは、ユーザーの現在の実行されている特権レベルを変更するために使用される「有効」要求です。Exchangeは、プリンシパルの特権レベルを変更するために必要な情報を収集している間に、複数のメッセージで構成されます。この交換はASCIIログインと非常によく似ています(セクション5.4.2.1)。
In order to readily distinguish "ENABLE" requests from other types of request, the value of the authen_service field MUST be set to TAC_PLUS_AUTHEN_SVC_ENABLE when requesting an ENABLE. It MUST NOT be set to this value when requesting any other operation.
他の種類の要求から「有効化」要求を容易に区別するためには、有効化を要求するときに、Authen_Serviceフィールドの値をtac_plus_authen_svc_enableに設定する必要があります。他の操作を要求するときは、この値に設定しないでください。
action = TAC_PLUS_AUTHEN_CHPASS authen_type = TAC_PLUS_AUTHEN_TYPE_ASCII
action = tac_plus_authen_chpass authen_type = tac_plus_authen_type_ascii.
This exchange consists of multiple messages while the server collects the information it requires in order to change the user's password. It is very similar to an ASCII login. The status value TAC_PLUS_AUTHEN_STATUS_GETPASS MUST only be used when requesting the "new" password. It MAY be sent multiple times. When requesting the "old" password, the status value MUST be set to TAC_PLUS_AUTHEN_STATUS_GETDATA.
この交換は、ユーザーのパスワードを変更するために必要な情報を収集している間に複数のメッセージで構成されています。ASCIIログインと非常によく似ています。ステータス値TAC_PLUS_AUTHEN_STATUS_GETPASSは、「新しい」パスワードを要求するときにのみ使用する必要があります。複数回送信することができます。「古い」パスワードを要求するときは、ステータス値をTAC_PLUS_AUTHEN_STATUS_GETDATAに設定する必要があります。
The client may prematurely terminate a session by setting the TAC_PLUS_CONTINUE_FLAG_ABORT flag in the CONTINUE message. If this flag is set, the data portion of the message may contain a text explaining the reason for the abort. This text will be handled by the server according to the requirements of the deployment. For details of text encoding, see "Treatment of Text Strings" (Section 3.7). For more details about session termination, refer to "Session Completion" (Section 4.4).
クライアントは、続行メッセージのTAC_PLUS_CONTINUE_FLAG_ABORTフラグを設定することによってセッションを常に終了することがあります。このフラグが設定されている場合、メッセージのデータ部分は中止の理由を説明するテキストを含むことができる。このテキストは、展開の要件に従ってサーバーによって処理されます。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。セッション終了の詳細については、「セッション完了」(セクション4.4)を参照してください。
In cases of PASS, FAIL, or ERROR, the server can insert a message into server_msg to be displayed to the user.
パス、フェイル、またはエラーの場合、サーバーはユーザーに表示されるServer_MSGにメッセージを挿入できます。
"The Draft" [THE-DRAFT] defined a mechanism to direct authentication requests to an alternative server. This mechanism is regarded as insecure, is deprecated, and is not covered here. The client should treat TAC_PLUS_AUTHEN_STATUS_FOLLOW as TAC_PLUS_AUTHEN_STATUS_FAIL.
「ドラフト」[ドラフト]は、代替サーバーへの認証要求を直接指示するメカニズムを定義しました。このメカニズムは不安定と見なされ、推奨されていないため、ここではカバーされていません。クライアントはTAC_PLUS_AUTHEN_STATUS_FOLLOWをTAC_PLUS_AUTHEN_STATUS_FAILとして扱う必要があります。
If the status equals TAC_PLUS_AUTHEN_STATUS_ERROR, then the host is indicating that it is experiencing an unrecoverable error and the authentication will proceed as if that host could not be contacted. The data field may contain a message to be printed on an administrative console or log.
ステータスがTAC_PLUS_AUTH_STATUS_ERRORの場合、ホストは回復不能なエラーが発生していることを示し、認証はそのホストを連絡できないようになります。データフィールドには、管理コンソールまたはログに印刷されるメッセージが含まれている可能性があります。
If the status equals TAC_PLUS_AUTHEN_STATUS_RESTART, then the authentication sequence is restarted with a new START packet from the client, with a new session Id and seq_no set to 1. This REPLY packet indicates that the current authen_type value (as specified in the START packet) is not acceptable for this session. The client may try an alternative authen_type.
ステータスがTAC_PLUS_AUTHEN_STATUS_RESTARTの場合、認証シーケンスはクライアントからの新しい開始パケットを使用して再起動され、新しいセッションIDとSEQ_NOが1に設定されています。この応答パケットは、現在のAUTHEN_TYPE値(開始パケットで指定されている)があることを示します。このセッションには受け入れられません。クライアントは代替authen_typeを試すことができます。
If a client does not implement the TAC_PLUS_AUTHEN_STATUS_RESTART option, then it MUST process the response as if the status was TAC_PLUS_AUTHEN_STATUS_FAIL.
クライアントがtac_plus_authen_status_restartオプションを実装していない場合は、ステータスがtac_plus_authen_status_failであったかのように応答を処理する必要があります。
In the TACACS+ protocol, authorization is the action of determining what a user is allowed to do. Generally, authentication precedes authorization, though it is not mandatory that a client use the same service for authentication that it will use for authorization. An authorization request may indicate that the user is not authenticated (we don't know who they are). In this case, it is up to the server to determine, according to its configuration, if an unauthenticated user is allowed the services in question.
TACACSプロトコルでは、承認は、ユーザーが許可されているものを決定することです。一般的に、認証は許可に先立ちますが、クライアントは認証に使用する認証に同じサービスを使用することは必須ではありません。許可要求は、ユーザーが認証されていないことを示している可能性があります(私たちは彼らが誰であるかわかりません)。この場合、認証されていないユーザーが問題のサービスを許可されている場合、その構成に従って検証するのはサーバー次第です。
Authorization does not merely provide yes or no answers, but it may also customize the service for the particular user. A common use of authorization is to provision a shell session when a user first logs into a device to administer it. The TACACS+ server might respond to the request by allowing the service, but placing a time restriction on the login shell. For a list of common arguments used in authorization, see "Authorization Arguments" (Section 8.2).
承認は単にyesまたはno答えを提供するだけでなく、特定のユーザーのサービスもカスタマイズすることができます。許可の一般的な使用は、ユーザーが最初にそれを管理するためにデバイスにログインするときにシェルセッションをプロビジョニングすることです。TACACSサーバーはサービスを許可することによって要求に応答するかもしれませんが、ログインシェルに時間制限を配置します。許可に使用される一般的な引数のリストについては、「承認引数」(セクション8.2)を参照してください。
In the TACACS+ protocol, an authorization is always a single pair of messages: a REQUEST from the client followed by a REPLY from the server.
TACACSプロトコルでは、承認は常に単一のメッセージです。クライアントからの要求に続くサーバーからの応答が続きます。
The authorization REQUEST message contains a fixed set of fields that indicate how the user was authenticated and a variable set of arguments that describe the services and options for which authorization is requested.
許可要求メッセージには、ユーザーが認証された方法と、許可が要求されているサービスとオプションを記述する引数の変数セットの固定フィールドが含まれています。
The REPLY contains a variable set of response arguments (argument-value pairs) that can restrict or modify the client's actions.
応答には、クライアントのアクションを制限または変更できる応答引数の変数(引数値ペア)が含まれています。
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 +----------------+----------------+----------------+----------------+ | authen_method | priv_lvl | authen_type | authen_service | +----------------+----------------+----------------+----------------+ | user_len | port_len | rem_addr_len | arg_cnt | +----------------+----------------+----------------+----------------+ | arg_1_len | arg_2_len | ... | arg_N_len | +----------------+----------------+----------------+----------------+ | user ... +----------------+----------------+----------------+----------------+ | port ... +----------------+----------------+----------------+----------------+ | rem_addr ... +----------------+----------------+----------------+----------------+ | arg_1 ... +----------------+----------------+----------------+----------------+ | arg_2 ... +----------------+----------------+----------------+----------------+ | ... +----------------+----------------+----------------+----------------+ | arg_N ... +----------------+----------------+----------------+----------------+
authen_method
authen_method
This field allows the client to indicate the authentication method used to acquire user information.
このフィールドは、クライアントがユーザー情報を取得するために使用される認証方法を示すことを可能にします。
TAC_PLUS_AUTHEN_METH_NOT_SET := 0x00
TAC_PLUS_AUTHEN_METH_NOT_SET:= 0x00
TAC_PLUS_AUTHEN_METH_NONE := 0x01
tac_plus_authen_meth_none:= 0x01
TAC_PLUS_AUTHEN_METH_KRB5 := 0x02
tac_plus_authen_meth_krb5:= 0x02
TAC_PLUS_AUTHEN_METH_LINE := 0x03
tac_plus_authen_meth_line:= 0x03
TAC_PLUS_AUTHEN_METH_ENABLE := 0x04
TAC_PLUS_AUTHEN_METH_ENABLE:= 0x04
TAC_PLUS_AUTHEN_METH_LOCAL := 0x05
tac_plus_authen_meth_local:= 0x05
TAC_PLUS_AUTHEN_METH_TACACSPLUS := 0x06
TAC_PLUS_AUTHEN_METH_TACACSPLUS:= 0x06
TAC_PLUS_AUTHEN_METH_GUEST := 0x08
tac_plus_authen_meth_guest:= 0x08
TAC_PLUS_AUTHEN_METH_RADIUS := 0x10
tac_plus_authen_meth_radius:= 0x10
TAC_PLUS_AUTHEN_METH_KRB4 := 0x11
tac_plus_authen_meth_krb4:= 0x11
TAC_PLUS_AUTHEN_METH_RCMD := 0x20
tac_plus_authen_meth_rcmd:= 0x20
As this information is not always subject to verification, it MUST NOT be used in policy evaluation. LINE refers to a fixed password associated with the terminal line used to gain access. LOCAL is a client local user database. ENABLE is a command that authenticates in order to grant new privileges. TACACSPLUS is, of course, TACACS+. GUEST is an unqualified guest authentication. RADIUS is the RADIUS authentication protocol. RCMD refers to authentication provided via the R-command protocols from Berkeley Unix. KRB5 [RFC4120] and KRB4 [KRB4] are Kerberos versions 5 and 4.
この情報が必ずしも検証の対象とはならないので、ポリシー評価では使用しないでください。行は、アクセスを得るために使用される端末回線に関連する固定のパスワードを表します。ローカルはクライアントローカルユーザーデータベースです。有効は、新しい権限を付与するために認証するコマンドです。Tacacsplusは、もちろん、TACACSです。ゲストは、非修飾ゲスト認証です。RADIUSはRADIUS認証プロトコルです。RCMDは、Berkeley UNIXのRコマンドプロトコルを介して提供された認証を指します。Krb5 [RFC4120]およびKrb4 [krb4]は、Kerberosバージョン5および4です。
As mentioned above, this field is used by the client to indicate how it performed the authentication. One of the options (TAC_PLUS_AUTHEN_METH_TACACSPLUS := 0x06) is TACACS+ itself, and so the detail of how the client performed this option is given in "Authentication" (Section 5). For all other options, such as KRB and RADIUS, the TACACS+ protocol did not play any part in the authentication phase; as those interactions were not conducted using the TACACS+ protocol, they will not be documented here. For implementers of clients who need details of the other protocols, please refer to the respective Kerberos [RFC4120] and RADIUS [RFC3579] RFCs.
上述のように、このフィールドはクライアントによって認証の実行方法を示すために使用されます。オプションの1つ(TAC_PLUS_AUTH_METH_TACACSPLUS:= 0x06)はTACACS自体です。そのため、クライアントがこのオプションを実行した方法の詳細は "認証"(セクション5)に記載されています。KRBやRADIUSなどの他のすべてのオプションについて、TACACSプロトコルは認証フェーズ内のどの部分を再生しませんでした。これらの相互作用はTACACSプロトコルを使用して行われなかったので、それらはここに文書化されません。他のプロトコルの詳細を必要とするクライアントの実装者の場合は、それぞれのKerberos [RFC4120]とRADIUS [RFC3579] RFCを参照してください。
priv_lvl
priv_lvl
This field is used in the same way as the priv_lvl field in authentication request and is described in "Privilege Levels" (Section 9). It indicates the user's current privilege level.
このフィールドは、認証要求のPRIV_LVLフィールドと同じ方法で使用され、「特権レベル」で説明されています(セクション9)。ユーザーの現在の特権レベルを示します。
authen_type
authen_type.
This field corresponds to the authen_type field in "Authentication" (Section 5). It indicates the type of authentication that was performed. If this information is not available, then the client will set authen_type to TAC_PLUS_AUTHEN_TYPE_NOT_SET := 0x00. This value is valid only in authorization and accounting requests.
このフィールドは、「認証」のauthen_typeフィールドに対応します(セクション5)。実行された認証の種類を示します。この情報が利用できない場合、クライアントはauthen_typeをtac_plus_authen_type_not_set:= 0x00に設定します。この値は、許可要求および会計要求にのみ有効です。
authen_service
authen_service.
This field is the same as the authen_service field in "Authentication" (Section 5). It indicates the service through which the user authenticated.
このフィールドは、「認証」のauthen_serviceフィールドと同じです(セクション5)。ユーザーが認証されたサービスを示します。
user, user_len
ユーザー、USER_LEN
This field contains the user's account name. The user_len MUST indicate the length of the user field, in bytes.
このフィールドには、ユーザーのアカウント名が含まれています。USER_LENは、ユーザーフィールドの長さをバイト単位で示す必要があります。
port, port_len
ポート、ポート - レン
This field matches the port field in "Authentication" (Section 5). The port_len indicates the length of the port field, in bytes.
このフィールドは、「認証」のポートフィールドと一致します(セクション5)。PORT_LENは、ポートフィールドの長さ(バイト単位)を示します。
rem_addr, rem_addr_len
rem_addr、rem_addr_len.
This field matches the rem_addr field in "Authentication" (Section 5). The rem_addr_len indicates the length of the port field, in bytes.
このフィールドは、「認証」のrem_addrフィールドと一致します(セクション5)。REM_ADDR_LENは、ポートフィールドの長さ(バイト単位)を示します。
arg_cnt
arg_cnt.
This represents the number of authorization arguments to follow.
これは従うべき許可引数の数を表します。
arg_1 ... arg_N, arg_1_len .... arg_N_len
These arguments are the primary elements of the authorization interaction. In the request packet, they describe the specifics of the authorization that is being requested. Each argument is encoded in the packet as a single arg field (arg_1... arg_N) with a corresponding length field (which indicates the length of each argument in bytes).
これらの引数は、許可インタラクションの主な要素です。リクエストパケットでは、要求されている許可の詳細を説明します。各引数は、対応する長さ項目(各引数の長さをバイト単位の)を持つ単一のargフィールド(arg_1 ... arg_n)としてパケット内でエンコードされます。
The authorization arguments in both the REQUEST and the REPLY are argument-value pairs. The argument and the value are in a single string and are separated by either a "=" (0X3D) or a "*" (0X2A). The equals sign indicates a mandatory argument. The asterisk indicates an optional one. For details of text encoding, see "Treatment of Text Strings" (Section 3.7).
要求と応答の両方の許可引数は引数値のペアです。引数と値は単一の文字列にあり、 "="(0x3d)または "*"(0x2a)のいずれかで区切ります。等号は必須の引数を示します。アスタリスクはオプションのものを示します。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。
An argument name MUST NOT contain either of the separators. An argument value MAY contain the separators. This means that the arguments must be parsed until the first separator is encountered; all characters in the argument, after this separator, are interpreted as the argument value.
引数名には、区切り文字のいずれかを含めないでください。引数値には区切り文字が含まれている可能性があります。つまり、最初の区切り文字が発生するまで引数を解析する必要があります。この区切り文字の後の引数内のすべての文字は、引数値として解釈されます。
Optional arguments are ones that may be disregarded by either client or server. Mandatory arguments require that the receiving side can handle the argument, that is, its implementation and configuration includes the details of how to act on it. If the client receives a mandatory argument that it cannot handle, it MUST consider the authorization to have failed. The value part of an argument-value pair may be empty, that is, the length of the value may be zero.
オプションの引数は、クライアントまたはサーバーによって無視される可能性があるものです。必須引数は、受信側が引数を処理できるようにする必要があります。つまり、その実装と構成には、その動作方法の詳細が含まれます。クライアントが処理できない必須引数を受信した場合は、許可が失敗したことを考慮する必要があります。引数値のペアの値部分は空、つまり値の長さがゼロになることがあります。
Argument-value strings are not NULL terminated; rather, their length value indicates their end. The maximum length of an argument-value string is 255 characters. The minimum is two characters (one name-value character and the separator).
引数値文字列はNULLで終了しません。むしろ、それらの長さ値はそれらの終わりを示します。引数値文字列の最大長は255文字です。最小値は2文字です(1つの名前値文字と区切り文字)。
Though the arguments allow extensibility, a common core set of authorization arguments SHOULD be supported by clients and servers; these are listed in "Authorization Arguments" (Section 8.2).
引数は拡張性を許可するが、許可引数の共通のコアセットは、クライアントおよびサーバによってサポートされるべきである。これらは "承認引数"(セクション8.2)に記載されています。
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 +----------------+----------------+----------------+----------------+ | status | arg_cnt | server_msg len | +----------------+----------------+----------------+----------------+ + data_len | arg_1_len | arg_2_len | +----------------+----------------+----------------+----------------+ | ... | arg_N_len | server_msg ... +----------------+----------------+----------------+----------------+ | data ... +----------------+----------------+----------------+----------------+ | arg_1 ... +----------------+----------------+----------------+----------------+ | arg_2 ... +----------------+----------------+----------------+----------------+ | ... +----------------+----------------+----------------+----------------+ | arg_N ... +----------------+----------------+----------------+----------------+
status
状態
This field indicates the authorization status.
このフィールドは許可ステータスを示します。
TAC_PLUS_AUTHOR_STATUS_PASS_ADD := 0x01
TAC_PLUS_AUTHOR_STATUS_PASS_ADD:= 0x01.
If the status equals TAC_PLUS_AUTHOR_STATUS_PASS_ADD, then the arguments specified in the request are authorized and the arguments in the response MUST be applied according to the rules described above.
ステータスがTAC_PLUS_AUTHOR_STATUS_PASS_ADD_ADDに等しい場合、要求で指定された引数は正規化され、応答内の引数は上記の規則に従って適用されなければなりません。
To approve the authorization with no modifications, the server sets the status to TAC_PLUS_AUTHOR_STATUS_PASS_ADD and the arg_cnt to 0.
変更なしで承認を承認するために、サーバーはステータスをTAC_PLUS_AUTHOR_STATUS_PAS_PASS_ADDとarg_cntを0に設定します。
TAC_PLUS_AUTHOR_STATUS_PASS_REPL := 0x02
tac_plus_author_status_pass_repl:= 0x02
If the status equals TAC_PLUS_AUTHOR_STATUS_PASS_REPL, then the client MUST use the authorization argument-value pairs (if any) in the response instead of the authorization argument-value pairs from the request.
ステータスがTAC_PLUS_AUTHOR_STATUS_PASS_PASS_REPLに等しい場合、クライアントは要求から許可引数値のペアではなく、応答内の承認引数値のペア(ある場合)を使用する必要があります。
TAC_PLUS_AUTHOR_STATUS_FAIL := 0x10
tac_plus_author_status_fail:= 0x10
If the status equals TAC_PLUS_AUTHOR_STATUS_FAIL, then the requested authorization MUST be denied.
ステータスがtac_plus_author_status_failに等しい場合、要求された許可は拒否されなければなりません。
TAC_PLUS_AUTHOR_STATUS_ERROR := 0x11
TAC_PLUS_AUTHOR_STATUS_ERROR:= 0x11
A status of TAC_PLUS_AUTHOR_STATUS_ERROR indicates an error occurred on the server. For the differences between ERROR and FAIL, refer to "Session Completion" (Section 4.4). None of the arg values have any relevance if an ERROR is set and must be ignored.
tac_plus_author_status_errorのステータスは、サーバー上でエラーが発生したことを示します。エラーと失敗の違いについては、「セッション完了」を参照してください(セクション4.4)。エラーが設定されていて無視される必要がある場合は、arg値のどれも関連性がありません。
TAC_PLUS_AUTHOR_STATUS_FOLLOW := 0x21
tac_plus_author_status_follow:= 0x21
When the status equals TAC_PLUS_AUTHOR_STATUS_FOLLOW, the arg_cnt MUST be 0. In that case, the actions to be taken and the contents of the data field are identical to the TAC_PLUS_AUTHEN_STATUS_FOLLOW status for authentication.
ステータスがTAC_PLUS_AUTHOR_STATUS_FOLLOWに等しい場合、arg_cntは0にする必要があります。その場合、実行するアクションとデータフィールドの内容は、認証のためのTAC_PLUS_AUTHEN_STATUS_FOLOWステータスと同じです。
server_msg, server_msg_len
server_msg、server_msg_len.
This is a string that may be presented to the user. The server_msg_len indicates the length of the server_msg field, in bytes. For details of text encoding, see "Treatment of Text Strings" (Section 3.7).
これは、ユーザーに提示される可能性がある文字列です。server_msg_lenは、bytes単位でserver_msgフィールドの長さを示します。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。
data, data_len
データ、DATA_LEN
This is a string that may be presented on an administrative display, console, or log. The decision to present this message is client specific. The data_len indicates the length of the data field, in bytes. For details of text encoding, see "Treatment of Text Strings" (Section 3.7).
これは、管理ディスプレイ、コンソール、またはログに表示される可能性がある文字列です。このメッセージを提示する決定はクライアント固有です。DATA_LENは、データフィールドの長さをバイト単位で示します。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。
arg_cnt
arg_cnt.
This represents the number of authorization arguments to follow.
これは従うべき許可引数の数を表します。
arg_1 ... arg_N, arg_1_len .... arg_N_len
The arguments describe the specifics of the authorization that is being requested. For details of the content of the args, refer to "Authorization Arguments" (Section 8.2). Each argument is encoded in the packet as a single arg field (arg_1... arg_N) with a corresponding length field (which indicates the length of each argument in bytes).
引数は、要求されている許可の詳細を説明しています。ARGSの内容の詳細については、「承認引数」(セクション8.2)を参照してください。各引数は、対応する長さ項目(各引数の長さをバイト単位の)を持つ単一のargフィールド(arg_1 ... arg_n)としてパケット内でエンコードされます。
Accounting is typically the third action after authentication and authorization. But again, neither authentication nor authorization is required. Accounting is the action of recording what a user is doing and/or has done. Accounting in TACACS+ can serve two purposes: it may be used as an auditing tool for security services, and it may also be used to account for services used such as in a billing environment. To this end, TACACS+ supports three types of accounting records: Start records indicate that a service is about to begin, Stop records indicate that a service has just terminated, and Update records are intermediate notices that indicate that a service is still being performed. TACACS+ accounting records contain all the information used in the authorization records and also contain accounting-specific information such as start and stop times (when appropriate) and resource usage information. A list of accounting arguments is defined in "Accounting Arguments" (Section 8.3).
アカウンティングは通常、認証と許可後の3番目のアクションです。しかし、再び、認証も承認も要求されません。会計管理は、ユーザーがしているものを記録していることや行ったことです。TACACでの会計処理は2つの目的に役立ちます。セキュリティサービスの監査ツールとして使用することができ、請求環境のような使用されるサービスを考慮に入れるためにも使用されます。この目的のために、TACACSは3種類の会計レコードをサポートしています。スタートレコードは、サービスが開始しようとしていることを示し、Stopレコードはサービスが終了したばかりであることを示し、更新レコードは、サービスがまだ実行されていることを示す中間の通知です。TACACSアカウンティングレコードには、許可レコードで使用されているすべての情報が含まれており、スタートとストップタイムやストップタイムなどの会計固有の情報(必要に応じて)やリソース使用状況情報が含まれています。会計引数のリストは、「アカウンティング引数」(セクション8.3)で定義されています。
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 +----------------+----------------+----------------+----------------+ | flags | authen_method | priv_lvl | authen_type | +----------------+----------------+----------------+----------------+ | authen_service | user_len | port_len | rem_addr_len | +----------------+----------------+----------------+----------------+ | arg_cnt | arg_1_len | arg_2_len | ... | +----------------+----------------+----------------+----------------+ | arg_N_len | user ... +----------------+----------------+----------------+----------------+ | port ... +----------------+----------------+----------------+----------------+ | rem_addr ... +----------------+----------------+----------------+----------------+ | arg_1 ... +----------------+----------------+----------------+----------------+ | arg_2 ... +----------------+----------------+----------------+----------------+ | ... +----------------+----------------+----------------+----------------+ | arg_N ... +----------------+----------------+----------------+----------------+
flags
旗
This holds bitmapped flags.
これはビットマップフラグを保持します。
Valid values are:
有効な値は次のとおりです。
TAC_PLUS_ACCT_FLAG_START := 0x02
tac_plus_acct_flag_start:= 0x02
TAC_PLUS_ACCT_FLAG_STOP := 0x04
tac_plus_acct_flag_stop:= 0x04
TAC_PLUS_ACCT_FLAG_WATCHDOG := 0x08
tac_plus_acct_flag_watchdog:= 0x08
All other fields are defined in "Authentication" (Section 5) and "Authorization" (Section 6) and have the same semantics. They provide details for the conditions on the client, and authentication context, so that these details may be logged for accounting purposes.
他のすべてのフィールドは、「認証」(セクション5)および「承認」(セクション6)で定義されており、同じ意味論を持っています。これらの詳細が会計目的でログに記録される可能性があるように、クライアント上の条件の詳細と認証コンテキストの詳細を提供します。
See "Accounting Arguments" (Section 8.3) for the dictionary of arguments relevant to accounting.
会計に関連する引数の辞書の「アカウンティング引数」(セクション8.3)を参照してください。
The purpose of accounting is to record the action that has occurred on the client. The server MUST reply with success only when the accounting request has been recorded. If the server did not record the accounting request, then it MUST reply with ERROR.
会計の目的は、クライアント上で発生したアクションを記録することです。アカウンティング要求が記録されている場合にのみ、サーバーは成功して返信する必要があります。サーバーがアカウンティング要求を記録しなかった場合は、エラーで返信する必要があります。
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 +----------------+----------------+----------------+----------------+ | server_msg len | data_len | +----------------+----------------+----------------+----------------+ | status | server_msg ... +----------------+----------------+----------------+----------------+ | data ... +----------------+
status
状態
This is the return status.
これが戻り状態です。
Values are:
値は次のとおりです。
TAC_PLUS_ACCT_STATUS_SUCCESS := 0x01
TAC_PLUS_ACCT_STATUS_SUCCESS:= 0x01.
TAC_PLUS_ACCT_STATUS_ERROR := 0x02
TAC_PLUS_ACCT_STATUS_ERROR:= 0x02
TAC_PLUS_ACCT_STATUS_FOLLOW := 0x21
tac_plus_acct_status_follow:= 0x21
When the status equals TAC_PLUS_ACCT_STATUS_FOLLOW, the actions to be taken and the contents of the data field are identical to the TAC_PLUS_AUTHEN_STATUS_FOLLOW status for authentication.
ステータスがTAC_PLUS_ACCT_STATUS_FOLLOWに等しい場合は、認証のためのTAC_PLUS_AUTHEN_STATUS_FOLLOWステータスと同じアクションとデータフィールドの内容が同じです。
server_msg, server_msg_len
server_msg、server_msg_len.
This is a string that may be presented to the user. The server_msg_len indicates the length of the server_msg field, in bytes. For details of text encoding, see "Treatment of Text Strings" (Section 3.7).
これは、ユーザーに提示される可能性がある文字列です。server_msg_lenは、bytes単位でserver_msgフィールドの長さを示します。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。
data, data_len
データ、DATA_LEN
This is a string that may be presented on an administrative display, console, or log. The decision to present this message is client specific. The data_len indicates the length of the data field, in bytes. For details of text encoding, see "Treatment of Text Strings" (Section 3.7).
これは、管理ディスプレイ、コンソール、またはログに表示される可能性がある文字列です。このメッセージを提示する決定はクライアント固有です。DATA_LENは、データフィールドの長さをバイト単位で示します。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。
TACACS+ accounting is intended to record various types of events on clients, for example: login sessions, command entry, and others as required by the client implementation. These events are collectively referred to in "The Draft" [THE-DRAFT] as "tasks".
TACACSアカウンティングは、クライアント上でさまざまな種類のイベントを記録することを目的としています。たとえば、クライアントの実装によって必要なログインセッション、コマンドエントリなどです。これらのイベントは、「ドラフト」[タスク "でまとめて参照しています。
The TAC_PLUS_ACCT_FLAG_START flag indicates that this is a start accounting message. Start messages will only be sent once when a task is started. The TAC_PLUS_ACCT_FLAG_STOP indicates that this is a stop record and that the task has terminated. The TAC_PLUS_ACCT_FLAG_WATCHDOG flag means that this is an update record.
TAC_PLUS_ACCT_FLAG_STARTフラグは、これが開始会計メッセージであることを示しています。起動メッセージはタスクが開始されたときにのみ送信されます。tac_plus_acct_flag_stopは、これがストップレコードであり、タスクが終了したことを示します。TAC_PLUS_ACCT_FLAG_WATCHDOGフラグは、これが更新レコードであることを意味します。
+==========+======+=======+=============+=========================+ | Watchdog | Stop | Start | Flags & 0xE | Meaning | +==========+======+=======+=============+=========================+ | 0 | 0 | 0 | 0 | INVALID | +----------+------+-------+-------------+-------------------------+ | 0 | 0 | 1 | 2 | Start Accounting Record | +----------+------+-------+-------------+-------------------------+ | 0 | 1 | 0 | 4 | Stop Accounting Record | +----------+------+-------+-------------+-------------------------+ | 0 | 1 | 1 | 6 | INVALID | +----------+------+-------+-------------+-------------------------+ | 1 | 0 | 0 | 8 | Watchdog, no update | +----------+------+-------+-------------+-------------------------+ | 1 | 0 | 1 | A | Watchdog, with update | +----------+------+-------+-------------+-------------------------+ | 1 | 1 | 0 | C | INVALID | +----------+------+-------+-------------+-------------------------+ | 1 | 1 | 1 | E | INVALID | +----------+------+-------+-------------+-------------------------+
Table 2: Summary of Accounting Packets
表2:会計パケットの概要
The START and STOP flags are mutually exclusive.
開始フラグと停止フラグは相互に排他的です。
The WATCHDOG flag is used by the client to communicate ongoing status of a long-running task. Update records are sent at the client's discretion. The frequency of the update depends upon the intended application: a watchdog to provide progress indication will require higher frequency than a daily keep-alive. When the WATCHDOG flag is set along with the START flag, it indicates that the update record provides additional or updated arguments from the original START record. If the START flag is not set, then this indicates only that task is still running, and no new information is provided (servers MUST ignore any arguments). The STOP flag MUST NOT be set in conjunction with the WATCHDOG flag.
ウォッチドッグフラグは、ロングランニングタスクの継続的なステータスを通信するためにクライアントによって使用されます。更新レコードはクライアントの裁量で送信されます。更新の頻度は意図されたアプリケーションによって異なります。進行状況表示を提供するためのウォッチドッグは、毎日のキープアライブよりも高い頻度を必要とするでしょう。ウォッチドッグフラグが開始フラグと一緒に設定されている場合、更新レコードが元のスタートレコードから追加または更新された引数を提供することを示します。開始フラグが設定されていない場合、これはそのタスクがまだ実行されていることだけを示し、新しい情報が提供されていません(サーバーは引数を無視する必要があります)。停止フラグをウォッチドッグフラグと組み合わせて設定しないでください。
The server MUST respond with TAC_PLUS_ACCT_STATUS_ERROR if the client requests an INVALID option.
クライアントが無効なオプションを要求した場合、サーバーはTAC_PLUS_ACCT_STATUS_ERRORで応答する必要があります。
TACACS+ is intended to be an extensible protocol. The arguments used in Authorization and Accounting are not limited by this document. Some arguments are defined below for common use cases. Clients MUST use these arguments when supporting the corresponding use cases.
TACACSは拡張可能なプロトコルであることを意図しています。許可および会計で使用される引数は、この文書によって制限されません。一般的な使用例については、以下に引数がいくつか定義されています。クライアントは、対応するユースケースをサポートするときにこれらの引数を使用する必要があります。
All argument values are encoded as strings. For details of text encoding, see "Treatment of Text Strings" (Section 3.7). The following type representations SHOULD be followed.
すべての引数値は文字列としてエンコードされています。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。以下の種類の表現に従うべきです。
Numeric
数字
All numeric values in an argument-value string are provided as decimal numbers, unless otherwise stated. All arguments include a length field, and TACACS+ implementations MUST verify that they can accommodate the lengths of numeric arguments before attempting to process them. If the length cannot be accommodated, then the argument MUST be regarded as not handled and the logic in "Authorization" (Section 6.1) regarding the processing of arguments MUST be applied.
引数値文字列内のすべての数値は、特に明記しない限り、10進数として提供されます。すべての引数には長さフィールドが含まれており、TACACS実装は、それらを処理しようとする前に数値引数の長さに対応できることを確認する必要があります。長さに対応できない場合は、引数の処理を適用する必要があります。
Boolean
ブレアー
All Boolean arguments are encoded with values "true" or "false".
すべてのブール値引数は "true"または "false"の値でエンコードされています。
IP-Address
IPアドレス
It is recommended that hosts be specified as an IP address so as to avoid any ambiguities. For details of text encoding, see "Treatment of Text Strings" (Section 3.7). IPv4 addresses are specified as octet numerics separated by dots ('.'). IPv6 address text representation is defined in [RFC5952].
あいまいさを避けるために、ホストをIPアドレスとして指定することをお勧めします。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。IPv4アドレスは、ドット( '。')で区切られたオクテット数値数として指定されています。IPv6アドレステキスト表現は[RFC5952]で定義されています。
Date Time
日付時刻
Absolute date/times are specified in seconds since the epoch, 12:00am, January 1, 1970. The time zone MUST be UTC unless a time zone argument is specified.
絶対日/回数は、1970年1月1日午前12:00以降の秒数で指定されています。タイムゾーン引数が指定されていない限り、タイムゾーンはUTCでなければなりません。
String
ストリング
Many values have no specific type representation and are interpreted as plain strings.
多くの値は特定のタイプ表現を持たず、平凡な文字列として解釈されます。
Empty Values
空の値
Arguments may be submitted with no value, in which case they consist of the name and the mandatory or optional separator. For example, the argument "cmd", which has no value, is transmitted as a string of four characters "cmd=".
引数は、値なしで送信されます。その場合、それらは名前と必須の区切り文字で構成されています。たとえば、値がない引数 "cmd"は、4文字の文字 "cmd ="の文字列として送信されます。
service (String)
サービス(文字列)
The primary service. Specifying a service argument indicates that this is a request for authorization or accounting of that service. For example: "shell", "tty-server", "connection", "system" and "firewall"; others may be chosen for the required application. This argument MUST always be included.
一次サービスサービス引数を指定すると、これがそのサービスの許可または会計の要求であることを示します。例:「シェル」、「TTYサーバー」、「接続」、「システム」、「ファイアウォール」;他の人は必要な用途に選ばれてもよい。この引数は常に含める必要があります。
protocol (String)
プロトコル(文字列)
A field that may be used to indicate a subset of a service.
サービスのサブセットを示すために使用され得るフィールド。
cmd (String)
CMD(文字列)
A shell (exec) command. This indicates the command name of the command that is to be run. The "cmd" argument MUST be specified if service equals "shell".
シェル(EXEC)コマンドこれは、実行されるコマンドのコマンド名を示します。サービスが "Shell"に等しい場合は、 "cmd"引数を指定する必要があります。
Authorization of shell commands is a common use case for the TACACS+ protocol. Command Authorization generally takes one of two forms: session based or command based.
シェルコマンドの承認は、TACACSプロトコルの一般的な使用例です。コマンド許可は通常、セッションベースまたはコマンドベースの2つの形式のうちの1つを取ります。
For session-based shell authorization, the "cmd" argument will have an empty value. The client determines which commands are allowed in a session according to the arguments present in the authorization.
セッションベースのシェル認証の場合、 "cmd"引数には空の値があります。クライアントは、許可に存在する引数に従ってセッション内で許可されているコマンドを決定します。
In command-based authorization, the client requests that the server determine whether a command is allowed by making an authorization request for each command. The "cmd" argument will have the command name as its value.
コマンドベースの認証では、クライアントは、サーバーが各コマンドの許可要求を実行することによってコマンドが許可されているかどうかを判断することを要求します。"cmd"引数にはコマンド名がその値としてあります。
cmd-arg (String)
cmd-arg(文字列)
An argument to a shell (exec) command. This indicates an argument for the shell command that is to be run. Multiple cmd-arg arguments may be specified, and they are order dependent.
シェル(EXEC)コマンドへの引数。これは、実行されるシェルコマンドの引数を示します。複数のcmd-arg引数を指定して、それらは順序に依存しています。
acl (Numeric)
ACL(数字)
A number representing a connection access list. Applicable only to session-based shell authorization. For details of text encoding, see "Treatment of Text Strings" (Section 3.7).
接続アクセスリストを表す数値。セッションベースのシェル許可にのみ適用されます。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。
inacl (String)
InAcl(文字列)
The identifier (name) of an interface input access list. For details of text encoding, see "Treatment of Text Strings" (Section 3.7).
インターフェイス入力アクセスリストの識別子(名前)。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。
outacl (String)
OUTACL(文字列)
The identifier (name) of an interface output access list. For details of text encoding, see "Treatment of Text Strings" (Section 3.7).
インターフェイス出力アクセスリストの識別子(名前)。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。
addr (IP-Address)
ADDR(IPアドレス)
A network address.
ネットワークアドレス
addr-pool (String)
addr-pool(文字列)
The identifier of an address pool from which the client can assign an address.
クライアントがアドレスを割り当てることができるアドレスプールの識別子。
timeout (Numeric)
タイムアウト(数値)
An absolute timer for the connection (in minutes). A value of zero indicates no timeout.
接続の絶対タイマ(分単位)。ゼロの値はタイムアウトなしを示します。
idletime (Numeric)
ID選手(数字)
An idle-timeout for the connection (in minutes). A value of zero indicates no timeout.
接続のアイドルタイムアウト(分単位)。ゼロの値はタイムアウトなしを示します。
autocmd (String)
AUTOCMD(文字列)
An auto-command to run. Applicable only to session-based shell authorization.
実行する自動コマンドセッションベースのシェル許可にのみ適用されます。
noescape (Boolean)
Noescape(ブール値)
Prevents the user from using an escape character. Applicable only to session-based shell authorization.
ユーザーがエスケープ文字を使用するのを防ぎます。セッションベースのシェル許可にのみ適用されます。
nohangup (Boolean)
Nohangup(ブール人)
Boolean. Do not disconnect after an automatic command. Applicable only to session-based shell authorization.
ブール値。自動コマンドの後に切断しないでください。セッションベースのシェル許可にのみ適用されます。
priv-lvl (Numeric)
PRIV-LVL(数字)
The privilege level to be assigned. Please refer to "Privilege Levels" (Section 9).
割り当てられる特権レベル。「特権レベル」を参照してください(セクション9)。
The following arguments are defined for TACACS+ accounting only. They MUST precede any argument-value pairs that are defined in "Authorization" (Section 6).
以下の引数は、TACACSアカウンティングのみに定義されています。それらは「承認」で定義されている引数値のペアの前になければなりません(セクション6)。
task_id (String)
task_id(文字列)
Start and stop records for the same event MUST have matching task_id argument values. The client MUST ensure that active task_ids are not duplicated; a client MUST NOT reuse a task_id in a start record until it has sent a stop record for that task_id. Servers MUST NOT make assumptions about the format of a task_id.
同じイベントの開始レコードと停止レコードは、task_id引数値と一致する必要があります。クライアントは、Active Task_IDが重複していないことを確認する必要があります。クライアントは、そのTASK_IDのストップレコードを送信するまで、スタートレコードでtask_idを再利用してはなりません。サーバーは、task_idのフォーマットについて仮定してはいけません。
start_time (Date Time)
start_time(日付時刻)
The time the action started (in seconds since the epoch).
アクションが始まった時間(エポック以降の秒単位)。
stop_time (Date Time)
stop_time(日付時刻)
The time the action stopped (in seconds since the epoch).
アクションが停止した時間(EPOCHから秒単位)。
elapsed_time (Numeric)
elapsed_time(数値)
The elapsed time in seconds for the action.
アクションの経過時間(秒)。
timezone (String)
タイムゾーン(文字列)
The time zone abbreviation for all timestamps included in this packet. A database of time zones is maintained in [TZDB].
このパケットに含まれているすべてのタイムスタンプのタイムゾーンの省略形。タイムゾーンのデータベースは[TZDB]で維持されます。
event (String)
イベント(文字列)
Used only when "service=system". Current values are "net_acct", "cmd_acct", "conn_acct", "shell_acct", "sys_acct", and "clock_change". These indicate system-level changes. The flags field SHOULD indicate whether the service started or stopped.
"service = system"の場合にのみ使用されます。現在の値は、 "Net_acct"、 "Cmd_acct"、 "Conn_acct"、 "Shell_acct"、 "Sys_acct"、および "Clock_Change"です。これらはシステムレベルの変更を示します。flagsフィールドは、サービスが開始または停止したかどうかを示す必要があります。
reason (String)
理由(文字列)
Accompanies an event argument. It describes why the event occurred.
イベント引数を伴います。イベントが発生した理由を説明します。
bytes (Numeric)
バイト(数字)
The number of bytes transferred by this action.
このアクションによって転送されたバイト数。
bytes_in (Numeric)
bytes_in(数字)
The number of bytes transferred by this action from the endstation to the client port.
このアクションによってエンドステーションからクライアントポートへの転送されたバイト数。
bytes_out (Numeric)
bytes_out(数値)
The number of bytes transferred by this action from the client to the endstation port.
このアクションによってクライアントからエンドステーションポートへの転送されたバイト数。
paks (Numeric)
パック(数字)
The number of packets transferred by this action.
このアクションによって転送されたパケットの数。
paks_in (Numeric)
paks_in(数字)
The number of input packets transferred by this action from the endstation to the client port.
このアクションによってendstationからクライアントポートへの転送された入力パケットの数。
paks_out (Numeric)
paks_out(数値)
The number of output packets transferred by this action from the client port to the endstation.
このアクションによってクライアントポートからEndStationに転送された出力パケットの数。
err_msg (String)
err_msg(文字列)
A string describing the status of the action. For details of text encoding, see "Treatment of Text Strings" (Section 3.7).
アクションのステータスを説明する文字列。テキストエンコーディングの詳細については、「テキスト文字列の扱い」(セクション3.7)を参照してください。
Where the TACACS+ deployment is used to support the Device Administration use case, it is often required to log all commands entered into client devices. To support this mode of operation, TACACS+ client devices MUST be configured to send an accounting start packet for every command entered, irrespective of how the commands were authorized. These "Command Accounting" packets MUST include the "service" and "cmd" arguments, and if needed, the "cmd-arg" arguments detailed in Section 8.2.
TACACS展開がデバイス管理ユースケースをサポートするために使用されている場合、クライアントデバイスに入力されたすべてのコマンドを記録することがしばしば必要です。この動作モードをサポートするために、TACACSクライアントデバイスは、コマンドの許可方法に関係なく、入力されたすべてのコマンドに対してアカウンティング開始パケットを送信するように設定する必要があります。これらの「コマンドアカウンティング」パケットには、「サービス」および「CMD」引数を含めなければならず、必要に応じて「cmd-arg」の「cmd-arg」の引数がセクション8.2に詳述されています。
The TACACS+ protocol supports flexible authorization schemes through the extensible arguments.
TACACSプロトコルは、拡張可能な引数を介して柔軟な許可スキームをサポートします。
The privilege levels scheme is built into the protocol and has been extensively used as an option for Session-based shell authorization. Privilege levels are ordered values from 0 to 15 with each level being a superset of the next lower value. Configuration and implementation of the client will map actions (such as the permission to execute specific commands) to different privilege levels. The allocation of commands to privilege levels is highly dependent upon the deployment. Common allocations are as follows:
特権レベルのスキームはプロトコルに組み込まれており、セッションベースのシェル許可のオプションとして拡張的に使用されています。特権レベルは、各レベルが次の下位値のスーパーセットであると、0から15までの順序付け値です。クライアントの構成と実装は、アクション(特定のコマンドを実行する権限など)をさまざまな特権レベルにマッピングします。特権レベルへのコマンドの割り当ては、展開に大きく依存します。共通の割り当ては次のとおりです。
TAC_PLUS_PRIV_LVL_MIN := 0x00. The level normally allocated to an unauthenticated session.
tac_plus_priv_lvl_min:= 0x00。通常は認証されていないセッションに割り当てられています。
TAC_PLUS_PRIV_LVL_USER := 0x01. The level normally allocated to a regular authenticated session.
TAC_PLUS_PRIV_LVL_USER:= 0x01。通常は通常の認証されたセッションに割り当てられているレベル。
TAC_PLUS_PRIV_LVL_ROOT := 0x0f. The level normally allocated to a session authenticated by a highly privileged user to allow commands with significant system impact.
TAC_PLUS_PRIV_LVL_ROOT:= 0x0F。通常特権の高いユーザーによって認証されたセッションに通常割り当てられているレベルは、システムに大きな影響を与えます。
TAC_PLUS_PRIV_LVL_MAX := 0x0f. The highest privilege level.
TAC_PLUS_PRIV_LVL_MAX:= 0x0F。最高の特権レベル。
A privilege level can be assigned to a shell (exec) session when it starts. The client will permit the actions associated with this level to be executed. This privilege level is returned by the server in a session-based shell authorization (when "service" equals "shell" and "cmd" is empty). When a user is required to perform actions that are mapped to a higher privilege level, an ENABLE-type reauthentication can be initiated by the client. The client will insert the required privilege level into the authentication header for ENABLE authentication requests.
開始時に特権レベルをシェル(EXEC)セッションに割り当てることができます。クライアントはこのレベルに関連付けられているアクションを実行できます。この特権レベルは、セッションベースのシェル認証でサーバーによって返されます(「サービス」が「シェル」と「cmd」が空の場合)。ユーザーが高い特権レベルにマッピングされているアクションを実行する必要がある場合は、クライアントによってイネーブルタイプの再認証を開始できます。クライアントは認証要求を有効にするために必要な特権レベルを認証ヘッダーに挿入します。
The use of privilege levels to determine session-based access to commands and resources is not mandatory for clients. Although the privilege-level scheme is widely supported, its lack of flexibility in requiring a single monotonic hierarchy of permissions means that other session-based command authorization schemes have evolved. However, it is still common enough that it SHOULD be supported by servers.
コマンドとリソースへのセッションベースのアクセスを決定するための特権レベルの使用は、クライアントに必須ではありません。特権レベルの方式は広くサポートされていますが、単一の単調な権限の階層を必要とする柔軟性の欠如は、他のセッションベースのコマンド許可スキームが進化したことを意味します。ただし、サーバーでサポートされるべきであるほど十分に一般的です。
"The Draft" [THE-DRAFT] from 1998 did not address all of the key security concerns that are considered when designing modern standards. This section addresses known limitations and concerns that will impact overall security of the protocol and systems where this protocol is deployed to manage central authentication, authorization, or accounting for network Device Administration.
1998年の「ドラフト」が、現代の標準を設計するときに考慮されるすべての重要なセキュリティ上の懸念に対処しなかった。このセクションでは、このプロトコルの全体的なセキュリティとネットワークデバイス管理のための中央認証、許可、または会計管理を管理するために展開されているプロトコルとシステムの全体的なセキュリティに影響を与える既知の制限と懸念があります。
Multiple implementations of the protocol described in "The Draft" [THE-DRAFT] have been deployed. As the protocol was never standardized, current implementations may be incompatible in non-obvious ways, giving rise to additional security risks. This section does not claim to enumerate all possible security vulnerabilities.
「ドラフト」[ドラフト]で説明されているプロトコルの複数の実装が展開されています。プロトコルが標準化されていなかったので、現在の実装は明白な方法では互換性がないかもしれません、追加のセキュリティリスクを生じさせる。このセクションでは、すべての可能なセキュリティの脆弱性を列挙すると主張しません。
The TACACS+ protocol does not include a security mechanism that would meet modern-day requirements. These security mechanisms would be best referred to as "obfuscation" and not "encryption", since they provide no meaningful integrity, privacy, or replay protection. An attacker with access to the data stream should be assumed to be able to read and modify all TACACS+ packets. Without mitigation, a range of risks such as the following are possible:
TACACSプロトコルには、現代の要件を満たすセキュリティメカニズムは含まれていません。これらのセキュリティメカニズムは、意味のある整合性、プライバシー、または再生保護を提供しないため、「暗号化」ではなく「難読化」と呼ばれます。データストリームにアクセスする攻撃者は、すべてのTACACSパケットを読み取って変更できると見なされるべきです。緩和なしに、次のような範囲のリスクが可能です。
* Accounting information may be modified by the man-in-the-middle attacker, making such logs unsuitable and not trustable for auditing purposes.
* 会計情報は、中間攻撃者によって修正され、そのようなログが不適切であり、監査目的のために信頼できないようにすることができます。
* Invalid or misleading values may be inserted by the man-in-the-middle attacker in various fields at known offsets to try and circumvent the authentication or authorization checks even inside the obfuscated body.
* 無効または誤解を招くように、既知のオフセットで様々な分野でMan-In-The-Middleの攻撃者によって挿入され、難読化された体の内側でさえ認証または認証のチェックを回避することができます。
While the protocol provides some measure of transport privacy, it is vulnerable to at least the following attacks:
プロトコルは輸送プライバシーの尺度をいくつか提供しているが、少なくとも以下の攻撃に対して脆弱である。
* Brute-force attacks exploiting increased efficiency of MD5 digest computation.
* ブルートフォース攻撃MD5ダイジェスト計算の効率の向上を悪用しています。
* Known plaintext attacks that may decrease the cost of brute-force attacks.
* ブルートフォース攻撃のコストを削減する可能性がある既知の平文攻撃。
* Chosen plaintext attacks that may decrease the cost of a brute-force attacks.
* ブルートフォース攻撃のコストを削減する可能性がある平文攻撃を選択しました。
* No forward secrecy.
* 前方の秘密はありません。
Even though, to the best knowledge of the authors, this method of encryption wasn't rigorously tested, enough information is available that it is best referred to as "obfuscation" and not "encryption".
たとえ、著者の最良の知識には、この暗号化の方法は厳密にテストされていませんでしたが、十分な情報が「難読化」と呼ばれ、「暗号化」と呼ばれるのに最適な情報があります。
For these reasons, users deploying the TACACS+ protocol in their environments MUST limit access to known clients and MUST control the security of the entire transmission path. Attackers who can guess the key or otherwise break the obfuscation will gain unrestricted and undetected access to all TACACS+ traffic. Ensuring that a centralized AAA system like TACACS+ is deployed on a secured transport is essential to managing the security risk of such an attack.
これらの理由から、それらの環境でTACACSプロトコルを展開するユーザーは、既知のクライアントへのアクセスを制限し、送信経路全体のセキュリティを制御する必要があります。キーを推測するか、その他の方法で難読化を推測できる攻撃者は、すべてのTACACSトラフィックへの無制限および未検出のアクセスを得るでしょう。TACACSのような集中型AAAシステムが確保された輸送に展開されていることは、そのような攻撃のセキュリティリスクを管理するために不可欠です。
The following parts of this section enumerate only the session-specific risks that are in addition to general risk associated with bare obfuscation and lack of integrity checking.
このセクションの次の部分は、裸の難読化に関連する一般的なリスクに加えて、セッション固有のリスクだけを列挙し、整合性チェックの欠如です。
Authentication sessions SHOULD be used via a secure transport (see "TACACS+ Best Practices" (Section 10.5)) as the man-in-the-middle attack may completely subvert them. Even CHAP, which may be considered resistant to password interception, is unsafe as it does not protect the username from a trivial man-in-the-middle attack.
認証セッションは安全なトランスポートを介して使用されるべきです(「TACACSベストプラクティス」(セクション10.5)を参照)。パスワードの傍受に抵抗力があると見なされる可能性があるCHAPでさえ、それは中間的な人間の攻撃からユーザー名を保護しないので危険です。
This document deprecates the redirection mechanism using the TAC_PLUS_AUTHEN_STATUS_FOLLOW option, which was included in "The Draft". As part of this process, the secret key for a new server was sent to the client. This public exchange of secret keys means that once one session is broken, it may be possible to leverage that key to attacking connections to other servers. This mechanism MUST NOT be used in modern deployments. It MUST NOT be used outside a secured deployment.
この文書は、「ドラフト」に含まれていたTAC_PLUS_AUTHEN_STATUS_FOLOWオプションを使用してリダイレクトメカニズムを廃止する。このプロセスの一部として、新しいサーバーの秘密鍵がクライアントに送信されました。この秘密鍵のこの公衆交換は、1回のセッションが壊れたら、そのキーを他のサーバーへの接続を攻撃することを活用することが可能かもしれません。このメカニズムは現代の展開では使用してはいけません。保護された展開の外部では使用しないでください。
Authorization sessions SHOULD be used via a secure transport (see "TACACS+ Best Practices" (Section 10.5)) as it's trivial to execute a successful man-in-the-middle attack that changes well-known plaintext in either requests or responses.
許可セッションは安全なトランスポートを介して使用されるべきである(「TACACSベストプラクティス」(セクション10.5)を参照)。
As an example, take the field "authen_method". It's not unusual in actual deployments to authorize all commands received via the device local serial port (a console port), as that one is usually considered secure by virtue of the device located in a physically secure location. If an administrator would configure the authorization system to allow all commands entered by the user on a local console to aid in troubleshooting, that would give all access to all commands to any attacker that would be able to change the "authen_method" from TAC_PLUS_AUTHEN_METH_TACACSPLUS to TAC_PLUS_AUTHEN_METH_LINE. In this regard, the obfuscation provided by the protocol itself wouldn't help much, because:
例として、フィールド "authen_method"を取ります。実際の展開においては、実際の展開では、デバイスのローカルシリアルポート(コンソールポート)を介して受信されたすべてのコマンドを承認することは、通常、物理的に安全な場所にあるデバイスのおかげで安全であると見なされます。管理者がローカルコンソール上のユーザーによって入力されたすべてのコマンドを使用できるようにすると、TAC_PLUS_AUTHEN_METH_TACACSPLUSからTAC_PLUS_AUTH_METH_LUSへの "authen_method"を変更できるようになる攻撃者にすべてのコマンドへのアクセスをすべて与えることができます。。これに関して、プロトコル自体によって提供される難読化はそれほど助けることはないだろう。
* A lack of integrity means that any byte in the payload may be changed without either side detecting the change.
* 整合性の欠如は、その変更を検出することなくペイロード内の任意のバイトを変更することができることを意味します。
* Known plaintext means that an attacker would know with certainty which octet is the target of the attack (in this case, first octet after the header).
* 既知の平文は、攻撃者が攻撃の対象となる確実性(この場合はヘッダーの後の最初のオクテット)であることを意味します。
* In combination with known plaintext, the attacker can determine with certainty the value of the crypto-pad octet used to obfuscate the original octet.
* 既知の平文と組み合わせて、攻撃者は、元のオクテットを難読化するために使用される暗号パッドオクテットの値を確実に決定することができます。
Accounting sessions SHOULD be used via a secure transport (see "TACACS+ Best Practices" (Section 10.5)). Although Accounting sessions are not directly involved in authentication or authorizing operations on the device, man-in-the-middle attackers may do any of the following:
会計セッションは安全なトランスポートで使用されるべきです(「TACACSベストプラクティス」(セクション10.5)を参照)。会計セッションは、デバイス上での認証または承認に直接関与していませんが、中間攻撃者は次のいずれかを実行できます。
* Replace accounting data with new valid values or garbage that can confuse auditors or hide information related to their authentication and/or authorization attack attempts.
* アカウンティングデータを新しい有効な値またはゴミに置き換える監査人を混乱させることも、認証および/または認証攻撃の試みに関連する情報を非混同することができます。
* Try and poison an accounting log with entries designed to make systems behave in unintended ways (these systems could be TACACS+ servers and any other systems that would manage accounting entries).
* システムを意図しない方法で行動するように設計されたエントリを使用して、アカウンティングログを試してみてください(これらのシステムはTACACSサーバと会計エントリを管理する他のシステムでもよい)。
In addition to these direct manipulations, different client implementations pass a different fidelity of accounting data. Some vendors have been observed in the wild that pass sensitive data like passwords, encryption keys, and the like as part of the accounting log. Due to a lack of strong encryption with perfect forward secrecy, this data may be revealed in the future, leading to a security incident.
これらの直接操作に加えて、異なるクライアント実装は会計データの異なる忠実度を渡します。アカウンティングログの一部として、パスワード、暗号化キーなどのような機密データを通過させる野生では、野生で観察されました。完全な前方秘密を持つ強い暗号化がないため、このデータは将来明らかにされ、セキュリティ事件につながります。
With respect to the observations about the security issues described above, a network administrator MUST NOT rely on the obfuscation of the TACACS+ protocol. TACACS+ MUST be used within a secure deployment; TACACS+ MUST be deployed over networks that ensure privacy and integrity of the communication and MUST be deployed over a network that is separated from other traffic. Failure to do so will impact overall network security.
上記のセキュリティ上の問題についての観察に関しては、ネットワーク管理者はTACACSプロトコルの難読化に頼らないでください。TACACは安全な展開内で使用する必要があります。TACACは、通信のプライバシーと整合性を保証するネットワーク上で展開されなければならず、他のトラフィックから区切られているネットワークを介して展開する必要があります。そうしないと、ネットワークセキュリティ全体に影響を与えます。
The following recommendations impose restrictions on how the protocol is applied. These restrictions were not imposed in "The Draft". New implementations, and upgrades of current implementations, MUST implement these recommendations. Vendors SHOULD provide mechanisms to assist the administrator to achieve these best practices.
次の推奨事項は、プロトコルの適用方法についての制限を課します。これらの制限は「草案」には課されなかった。現在の実装、および現在の実装のアップグレードは、これらの推奨事項を実行する必要があります。ベンダーは、管理者がこれらのベストプラクティスを達成するのを支援するためのメカニズムを提供するべきです。
TACACS+ servers and clients MUST treat shared secrets as sensitive data to be managed securely, as would be expected for other sensitive data such as identity credential information. TACACS+ servers MUST NOT leak sensitive data.
TACACSサーバーとクライアントは、IDの資格情報情報などの他の機密データに予想されるように、共有秘密を確実に管理するように、確実に管理される機密データとして扱う必要があります。TACACSサーバーは機密データを漏らしてはいけません。
For example:
例えば:
* TACACS+ servers MUST NOT expose shared secrets in logs.
* TACACSサーバーは、共有秘密をログに公開してはいけません。
* TACACS+ servers MUST allow a dedicated secret key to be defined for each client.
* TACACSサーバーは、各クライアントに対して専用の秘密鍵を定義できるようにする必要があります。
* TACACS+ server management systems MUST provide a mechanism to track secret key lifetimes and notify administrators to update them periodically. TACACS+ server administrators SHOULD change secret keys at regular intervals.
* TACACSサーバー管理システムは、秘密の鍵の寿命を追跡し、定期的に更新するように管理者に通知するためのメカニズムを提供する必要があります。TACACS Server管理者は、秘密鍵を定期的に変更する必要があります。
* TACACS+ servers SHOULD warn administrators if secret keys are not unique per client.
* 秘密鍵がクライアントごとに一意でない場合、TACACSサーバーは管理者に警告する必要があります。
* TACACS+ server administrators SHOULD always define a secret for each client.
* TACACS Server管理者は常に各クライアントの秘密を定義する必要があります。
* TACACS+ servers and clients MUST support shared keys that are at least 32 characters long.
* TACACSサーバーとクライアントは、32文字以上の共有キーをサポートしている必要があります。
* TACACS+ servers MUST support policy to define minimum complexity for shared keys.
* TACACSサーバーは、共有キーの最小複雑さを定義するためのポリシーをサポートしている必要があります。
* TACACS+ clients SHOULD NOT allow servers to be configured without a shared secret key or shared key that is less than 16 characters long.
* TACACSクライアントは、16文字未満の共有秘密鍵または共有キーなしでサーバーを設定できるようにするべきではありません。
* TACACS+ server administrators SHOULD configure secret keys of a minimum of 16 characters in length.
* TACACS Server管理者は、最低16文字の長さの秘密鍵を設定する必要があります。
TACACS+ servers MUST allow the definition of individual clients. The servers MUST only accept network connection attempts from these defined known clients.
TACACSサーバーは個々のクライアントの定義を許可する必要があります。サーバーは、これらの定義された既知のクライアントからネットワーク接続の試行のみを受け入れる必要があります。
TACACS+ servers MUST reject connections that have TAC_PLUS_UNENCRYPTED_FLAG set. There MUST always be a shared secret set on the server for the client requesting the connection.
TACACSサーバーは、TAC_PLUS_UNENCRYPTED_FLAGセットを持つ接続を拒否しなければなりません。接続を要求するクライアントのサーバー上に常に共有された秘密セットが必要です。
If an invalid shared secret is detected when processing packets for a client, TACACS+ servers MUST NOT accept any new sessions on that connection. TACACS+ servers MUST terminate the connection on completion of any sessions that were previously established with a valid shared secret on that connection.
クライアントのパケットを処理するときに無効な共有秘密が検出された場合、TACACSサーバはその接続上の新しいセッションを受け入れないでください。TACACSサーバーは、その接続上の有効な共有秘密で以前に確立されたセッションの完了時の接続を終了する必要があります。
TACACS+ clients MUST NOT set TAC_PLUS_UNENCRYPTED_FLAG. Clients MUST be implemented in a way that requires explicit configuration to enable the use of TAC_PLUS_UNENCRYPTED_FLAG. This option MUST NOT be used when the client is in production.
TACACSクライアントはTAC_PLUS_UNENCRYPTED_FLAGを設定してはいけません。クライアントは、TAC_PLUS_UNENCRYPTED_FLAGの使用を可能にするために明示的な設定を必要とする方法で実装する必要があります。このオプションは、クライアントが製造中に使用されていない場合を使用しないでください。
When a TACACS+ client receives responses from servers where:
TACACSクライアントがサーバーからの応答を受け取ると、次のとおりです。
* the response packet was received from the server configured with a shared key, but the packet has TAC_PLUS_UNENCRYPTED_FLAG set, and
* 応答パケットは、共有キーで構成されたサーバーから受信されましたが、パケットにはTAC_PLUS_UNENCRYPTED_FLAGセットがあります。
* the response packet was received from the server configured not to use obfuscation, but the packet has TAC_PLUS_UNENCRYPTED_FLAG not set,
* 応答パケットは難読化を使用しないように構成されたサーバーから受信されましたが、パケットにはTAC_PLUS_UNENCRYPTED_FLAGが設定されていません。
the TACACS+ client MUST close the TCP session, and process the response in the same way that a TAC_PLUS_AUTHEN_STATUS_FAIL (authentication sessions) or TAC_PLUS_AUTHOR_STATUS_FAIL (authorization sessions) was received.
TACACSクライアントはTCPセッションを閉じ、TAC_PLUS_AUTHEN_STATUS_FAIL(認証セッション)またはTAC_PLUS_AUTHOR_STATUS_FAIL(認可セッション)が受信されたのと同じ方法で応答を処理する必要があります。
To help TACACS+ administrators select stronger authentication options, TACACS+ servers MUST allow the administrator to configure the server to only accept challenge/response options for authentication (TAC_PLUS_AUTHEN_TYPE_CHAP or TAC_PLUS_AUTHEN_TYPE_MSCHAP or TAC_PLUS_AUTHEN_TYPE_MSCHAPV2 for authen_type).
TACACS管理者がより強力な認証オプションを選択するのを助けるために、TACACSサーバは、認証のためのチャレンジ/レスポンスオプションのみを受け入れるようにサーバーをサーバーに設定する必要があります(TAC_PLUS_AUTHEN_TYPE_CHAPまたはTAC_PLUS_AUTH_TYPE_MSCHAPまたはTAC_PLUS_AUTH_TYPE_MSCHAPV2 for AUTHEN_TYPE)。
TACACS+ server administrators SHOULD enable the option mentioned in the previous paragraph. TACACS+ server deployments SHOULD only enable other options (such as TAC_PLUS_AUTHEN_TYPE_ASCII or TAC_PLUS_AUTHEN_TYPE_PAP) when unavoidable due to requirements of identity/password systems.
TACACS Server管理者は前の段落で説明したオプションを有効にする必要があります。TACACS Serverの展開は、ID /パスワードシステムの要件により、避けられない場合にのみ他のオプション(TAC_PLUS_AUTHEN_TYPE_ASCIIまたはTAC_PLUS_AUTHEN_TYPE_PAP)のみを有効にする必要があります。
TACACS+ server administrators SHOULD NOT allow the same credentials to be applied in challenge-based (TAC_PLUS_AUTHEN_TYPE_CHAP or TAC_PLUS_AUTHEN_TYPE_MSCHAP or TAC_PLUS_AUTHEN_TYPE_MSCHAPV2) and non-challenge-based authen_type options, as the insecurity of the latter will compromise the security of the former.
TACACS Server管理者は、後者の不安定が前者のセキュリティを危うくするため、Charaild-Based(TAC_PLUS_AUTHEN_TYPE_CHAPまたはTAC_PLUS_AUTHEN_TYPE_MSCHAPまたはTAC_PLUS_AUTHEN_TYPE_MSCHAPまたはTAC_PLUS_AUTHEN_TYPE_MSCHAPV2)および非チャレンジベースのAuthen_Typeオプションで同じ資格情報を適用することはできません。
TAC_PLUS_AUTHEN_SENDAUTH and TAC_PLUS_AUTHEN_SENDPASS options mentioned in "The Draft" SHOULD NOT be used due to their security implications. TACACS+ servers SHOULD NOT implement them. If they must be implemented, the servers MUST default to the options being disabled and MUST warn the administrator that these options are not secure.
TAC_PLUS_AUTHEN_SENDAUTHおよびTAC_PLUS_AUTHEN_SENDPASSのオプションは、セキュリティの影響のために使用しないでください。TACACSサーバーはそれらを実装しないでください。それらを実装する必要がある場合、サーバーは無効になっているオプションにデフォルトで、これらのオプションが安全でないことを管理者に警告する必要があります。
The authorization and accounting features are intended to provide extensibility and flexibility. There is a base dictionary defined in this document, but it may be extended in deployments by using new argument names. The cost of the flexibility is that administrators and implementers MUST ensure that the argument and value pairs shared between the clients and servers have consistent interpretation.
許可および会計機能は、拡張性と柔軟性を提供することを目的としています。このドキュメントで定義された基本辞書がありますが、新しい引数名を使用して展開で拡張されることがあります。柔軟性の費用は、管理者と実装者が、クライアントとサーバー間で共有されている引数と値のペアが一貫した解釈を確実にすることを確認する必要があります。
TACACS+ clients that receive an unrecognized mandatory argument MUST evaluate server response as if they received TAC_PLUS_AUTHOR_STATUS_FAIL.
認識されていない義務的な引数を受信するTACACSクライアントは、TAC_PLUS_AUTHOR_STATUS_FAILを受信したかのようにサーバーの応答を評価する必要があります。
"The Draft" described a redirection mechanism (TAC_PLUS_AUTHEN_STATUS_FOLLOW). This feature is difficult to secure. The option to send secret keys in the server list is particularly insecure, as it can reveal client shared secrets.
「ドラフト」はリダイレクトメカニズム(TAC_PLUS_AUTH_STATUS_FOLLOW)を説明しました。この機能は保護するのが難しいです。サーバーリストに秘密鍵を送信するオプションは、クライアント共有秘密を明らかにできるため、特に安全ではありません。
TACACS+ servers MUST deprecate the redirection mechanism.
TACACSサーバーは、リダイレクトメカニズムを廃止する必要があります。
If the redirection mechanism is implemented, then TACACS+ servers MUST disable it by default and MUST warn TACACS+ server administrators that it must only be enabled within a secure deployment due to the risks of revealing shared secrets.
リダイレクトメカニズムが実装されている場合、TACACSサーバはデフォルトで無効にする必要があり、Shared Secretsを明らかにするリスクのために安全な展開でのみ有効にする必要があることをTACACSサーバー管理者に警告する必要があります。
TACACS+ clients SHOULD deprecate this feature by treating TAC_PLUS_AUTHEN_STATUS_FOLLOW as TAC_PLUS_AUTHEN_STATUS_FAIL.
TACACSクライアントはTAC_PLUS_AUTHEN_STATUS_FOLLOWをTAC_PLUS_AUTHEN_STATUS_FAILとして扱うことによってこの機能を廃止する必要があります。
This document has no IANA actions.
この文書にはIANAの行動がありません。
[RFC0020] Cerf, V., "ASCII format for network interchange", STD 80, RFC 20, DOI 10.17487/RFC0020, October 1969, <https://www.rfc-editor.org/info/rfc20>.
[RFC0020] CERF、V.、ネットワークインターチェンジの「ASCIIフォーマット」、STD 80、RFC 20、DOI 10.17487 / RFC0020、<https://www.rfc-editor.org/info/rfc20>。
[RFC1321] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, DOI 10.17487/RFC1321, April 1992, <https://www.rfc-editor.org/info/rfc1321>.
[RFC1321] RIVEST、R。、「MD5メッセージ - ダイジェストアルゴリズム」、RFC 1321、DOI 10.17487 / RFC1321、1992年4月、<https://www.rfc-editor.org/info/rfc1321>。
[RFC1334] Lloyd, B. and W. Simpson, "PPP Authentication Protocols", RFC 1334, DOI 10.17487/RFC1334, October 1992, <https://www.rfc-editor.org/info/rfc1334>.
[RFC1334] Lloyd、B.およびW.Simpson、「PPP認証プロトコル」、RFC 1334、DOI 10.17487 / RFC1334、1992年10月、<https://www.rfc-editor.org/info/rfc1334>。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC2119] BRADNER、S、「RFCSで使用するためのキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<https://www.rfc-editor.org/info/RFC2119>。
[RFC2433] Zorn, G. and S. Cobb, "Microsoft PPP CHAP Extensions", RFC 2433, DOI 10.17487/RFC2433, October 1998, <https://www.rfc-editor.org/info/rfc2433>.
[RFC2433] Zorn、G.およびS. COBB、「Microsoft PPP CHAP Extensions」、RFC 2433、DOI 10.17487 / RFC2433、1998年10月、<https://www.rfc-editor.org/info/rfc2433>。
[RFC2759] Zorn, G., "Microsoft PPP CHAP Extensions, Version 2", RFC 2759, DOI 10.17487/RFC2759, January 2000, <https://www.rfc-editor.org/info/rfc2759>.
[RFC2759] Zorn、G.、 "Microsoft PPP CHAP Extensions、バージョン2"、RFC 2759、DOI 10.17487 / RFC2759、2000年1月、<https://www.rfc-editor.org/info/rfc2759>。
[RFC3579] Aboba, B. and P. Calhoun, "RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)", RFC 3579, DOI 10.17487/RFC3579, September 2003, <https://www.rfc-editor.org/info/rfc3579>.
[RFC3579] Aboba、B.およびP.Calhoun、「RADIUS(リモート認証ダイヤル/ユーザサービス)拡張認証プロトコル(EAP)」、RFC 3579、DOI 10.17487 / RFC3579、2003年9月、<https:// www。rfc-editor.org/info/rfc3579>。
[RFC4086] Eastlake 3rd, D., Schiller, J., and S. Crocker, "Randomness Requirements for Security", BCP 106, RFC 4086, DOI 10.17487/RFC4086, June 2005, <https://www.rfc-editor.org/info/rfc4086>.
[RFC4086]イーストレイク3RD、D.、Schiller、J.、S. Crocker、「セキュリティのためのランダム性要件」、BCP 106、RFC 4086、DOI 10.17487 / RFC4086、2005年6月、<https://www.rfc-編集者.org / info / rfc4086>。
[RFC4120] Neuman, C., Yu, T., Hartman, S., and K. Raeburn, "The Kerberos Network Authentication Service (V5)", RFC 4120, DOI 10.17487/RFC4120, July 2005, <https://www.rfc-editor.org/info/rfc4120>.
[RFC4120] Neuman、C、Yu、T.、Hartman、S.、およびK.Raeburn、「Kerberosネットワーク認証サービス(V5)」、RFC 4120、DOI 10.17487 / RFC4120、2005年7月、<https://www.rfc-editor.org/info/rfc4120>。
[RFC5952] Kawamura, S. and M. Kawashima, "A Recommendation for IPv6 Address Text Representation", RFC 5952, DOI 10.17487/RFC5952, August 2010, <https://www.rfc-editor.org/info/rfc5952>.
[RFC5952]川村、S.およびM.川島、「IPv6アドレステキスト表現の推奨事項」、RFC 5952、DOI 10.17487 / RFC5952、2010年8月、<https://www.rfc-editor.org/info/rfc5952>。
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8174] Leiba、B、「RFC 2119キーワードの大文字の曖昧さ」、BCP 14、RFC 8174、DOI 10.17487 / RFC8174、2017年5月、<https://www.rfc-editor.org/info/RFC8174>。
[RFC8265] Saint-Andre, P. and A. Melnikov, "Preparation, Enforcement, and Comparison of Internationalized Strings Representing Usernames and Passwords", RFC 8265, DOI 10.17487/RFC8265, October 2017, <https://www.rfc-editor.org/info/rfc8265>.
[RFC8265] Saint-Andre、P.およびA.Melnikov、「ユーザー名とパスワードを表す国際化された文字列の比較」、RFC 8265、DOI 10.17487 / RFC8265、2017年10月、<https://www.rfc-editor.org/info/rfc8265>。
[KRB4] Miller, S., Neuman, C., Schiller, J., and J. Saltzer, "Section E.2.1: Kerberos Authentication and Authorization System", MIT Project Athena, Cambridge, Massachusetts, December 1987.
[krb4]ミラー、S、Neuman、C.、Schiller、J.、およびJ.Saltzer、「セクションE.2.1:Kerberos認証および承認システム」、Mit Project Athena、Cambridge、マサチューセッツ、1987年12月。
[THE-DRAFT] Carrel, D. and L. Grant, "The TACACS+ Protocol Version 1.78", Work in Progress, Internet-Draft, draft-grant-tacacs-02, January 1997, <https://tools.ietf.org/html/draft-grant-tacacs-02>.
[ドラフト] Carrele、D.およびL. L. GRANT、「TACACSプロトコルバージョン1.78」、進行中の作業、インターネットドラフト、ドラフトGRANT-TARACS-02、<https://tools.ietf。org / html / draft-grant-tacacs-02>。
[TZDB] Eggert, P. and A. Olson, "Sources for Time Zone and Daylight Saving Time Data", 1987, <https://www.iana.org/time-zones>.
[TZDB] eggert、P.およびA.オルソン、「タイムゾーンおよび夏時間データの送信元」、1987、<https://www.iana.org/time-zones>。
Acknowledgements
謝辞
The authors would like to thank the following reviewers whose comments and contributions made considerable improvements to this document: Alan DeKok, Alexander Clouter, Chris Janicki, Tom Petch, Robert Drake, and John Heasley, among many others.
著者らは、コメントや貢献がこの文書に対してかなりの改善をした次のレビュー担当者に感謝します.Alan Dekok、Alexander Clouter、Chris Janicki、Tom Petch、Robert Drake、John Heasleyの中で、
The authors would particularly like to thank Alan DeKok, who provided significant insights and recommendations on all aspects of the document and the protocol. Alan DeKok has dedicated considerable time and effort to help improve the document, identifying weaknesses and providing remediation.
著者らは、文書とプロトコルのあらゆる側面について重要な洞察と推奨事項を提供したAlan Dekokに特に感謝します。Alan Dekokは、文書を改善し、弱点を特定し、修復を提供するのに役立つかなりの時間と努力を捧げました。
The authors would also like to thank the support from the OPSAWG Chairs and advisors, especially Joe Clarke.
著者らは、Opsawgチェアやアドバイザー、特にジョークラークからのサポートに感謝したいと思います。
Authors' Addresses
著者の住所
Thorsten Dahm Google Inc. 1600 Amphitheatre Parkway Mountain View, CA 94043 United States of America
Thorsten Dahm Google Inc. 1600 Amphitheater Parkway Mountain View、CA 94043アメリカ合衆国
Email: thorstendlux@google.com
Andrej Ota Google Inc. 1600 Amphitheatre Parkway Mountain View, CA 94043 United States of America
Andrej OTA Google Inc. 1600 Amphitheater Parkway Mountain View、CA 94043アメリカ合衆国
Email: andrej@ota.si
Douglas C. Medway Gash Cisco Systems, Inc. 170 West Tasman Dr. San Jose, CA 95134 United States of America
Douglas C. Medway Gash Cisco Systems、Inc。170 West Tasman San Jose、CA 95134アメリカ合衆国
Email: dcmgash@cisco.com
David Carrel IPsec Research
David Carrel IPsec Research.
Email: carrel@ipsec.org
Lol Grant
笑助成
Email: lol.grant@gmail.com