Tipos de protocolos de autenticación
El proceso de autenticación es un componente crítico en la actividad de la computadora. Los usuarios no pueden realizar muchas funciones en una red de computadoras o en Internet sin autenticarse antes en el servidor. Acceder a una computadora individual o a un sitio web requiere un protocolo de autenticación confiable para ejecutar un proceso de fondo para establecer la verificación del usuario. Una variedad de protocolos están en uso activo por parte de muchos servidores por el mundo.
Kerberos
El protocolo de autenticación Kerberos está entre los más usados en entornos de red. El sistema Kerberos identifica usuarios implementando una biblioteca grande y compleja de "claves" encriptadas que sólo asigna la plataforma Kerberos. Estas claves no pueden ser leídas o exportadas fuera del sistema. Los usuarios humanos y los servicios de red que requieren acceso a un dominio, son autenticados por Kerberos de la misma forma. Cuando Kerberos verifica que una contraseña de usuario se corresponde con una clave almacenada, autentica al usuario. Cuando el usuario intenta acceder a otro servicio de red, puede ser necesaria otra autenticación. Sin embargo, todos los servicios de red en este sistema interactúan directamente con Kerberos, no con el usuario. La eficiencia del entorno de Kerberos permite a los usuarios autenticarse una vez, y el acceso se concede seguidamente a otros servicios a través de la compartición de claves. Una vez autenticado, juega el rol de una autoridad para ese usuario y administra el proceso del archivo clave para el resto de todos los servicios. El sistema usa estas claves para convencer al resto de servicios de red para los que el usuario ya se ha autenticado. Para el usuario, la experiencia es perfecta. Detrás del escenario, los procesos de autenticación múltiples pueden dar como resultado que el usuario pase sólo la primera etapa.
RADIUS
El protocolo RADIUS para autenticar usuarios es uno de los sistemas más antiguos usados en Internet. El protocolo ha sido una plataforma estándar desde la era de las conexiones de marcado a Internet. RADIUS ejecuta un programa de software en un servidor. El servidor suele utilizarse exclusivamente para la autenticación RADIUS. Cuando un usuario intenta conectarse a la red, un programa cliente de RADIUS dirige todos los datos de usuario al servidor RADIUS para la autenticación. El servidor aloja los datos de autenticación del usuario en un formato encriptado y envía una respuesta de paso o rechazo de nuevo a la plataforma de conexión. Por tanto, la autenticación se establece o se rechaza. Si se rechaza, el usuario simplemente intenta de nuevo. Cuando se haya establecido, la interacción RADIUS termina. Las servicios de red adicionales que requieren autenticación son manejados por otros protocolos, si es necesario.
TACACS+
El protocolo de autenticación TACACS+ fue desarrollado a partir de la experiencia Cisco con RADIUS. Muchas de las características efectivas de RADIUS se conservaron en TACACS+, mientras que los mecanismos más robustos fueron creados para manejar los nuevos niveles de seguridad que demandaban las redes modernas. Una mejora clave en el diseño TACACS+ es la encriptación completa de todos los parámetros usados en el proceso de autenticación. RADIUS sólo encripta la contraseña, mientras que TACACS+ también encripta el nombre de usuario y otros datos asociados. Además, RADIUS es un protocolo de autenticación independiente, mientras que TACACS+ es escalable. Es posible aislar sólo determinados aspectos de autenticación de TACACS+ mientras implementa otros protocolos para capas adicionales del servicio de autenticación. Por tanto, Se suele combinar con Kerberos para sistemas de autenticación particularmente fuertes.