Cryptography Reference
In-Depth Information
22.4.2
Beispiele für Triple-A-Server
Es gibt drei bedeutende Standards für Triple-A-Server: RADIUS, TACACS und
DIAMETER. Alle drei funktionieren nach dem beschriebenen Prinzip.
RADIUS
Der bedeutendste Triple-A-Standard ist der
Remote Authentication Dial-In User
Service
(
RADIUS
). RADIUS wurde von der Firma Livingston entwickelt und
wird in [RFC2865] beschrieben. Über ein Dutzend weitere RFCs behandeln
diverse RADIUS-Erweiterungen oder sonstige RADIUS-Themen. RADIUS ist ein
weit verbreiteter De-facto-Standard, der in zahlreichen Produkten umgesetzt ist.
Es gibt mindestens fünf Open-Source-Implementierungen, die bekanntesten
davon heißen freeRADIUS und OpenRADIUS. Der Ablauf des RADIUS-Proto-
kolls entspricht recht genau dem zuvor beschriebenen, wobei jedoch teilweise
andere Bezeichnungen verwendet werden (RADIUS-Server und RADIUS-Client
statt Triple-A-Server und Triple-A-Client).
TAC ACS
In [RFC1492] wird das unter Mitwirkung der Firma CISCO entstandene Proto-
koll
TACACS
(
Terminal Access Controller Access Control System
) beschrieben,
das den Betrieb eines Triple-A-Servers ermöglicht. Durch die Hinzunahme von
Zugriffsrechten und Accounting wurde daraus
TACACS+
. Dieses ist jedoch nicht
über den Status eines Internet Drafts hinausgekommen. TACACS+ unterscheidet
sich bezüglich der Funktionalität kaum von RADIUS, ist jedoch nicht mit diesem
kompatibel.
DIAMETER
DIAMETER
ist der Nachfolger von RADIUS. Der Name ist ein Wortspiel: »Dia-
meter« heißt Durchmesser, und dieser beträgt bekanntlich das Doppelte des
Radius. DIAMETER ist nicht vollständig abwärtskompatibel zu RADIUS,
ermöglicht aber ein Upgrade. Das DIAMETER-Protokoll wird in [RFC3588]
beschrieben. Aus Kryptografensicht hat es den Vorteil, dass es im Gegensatz zu
RADIUS verhandlungsfähig ist. Alle weiteren Unterschiede zu RADIUS sind
nichtkryptografischer Natur. Bisher steht DIAMETER noch im Schatten seines
Vorgängers.
22.5
SAML
Mit Kerberos, RADIUS und einigen anderen gibt es bewährte Standards für das
Single Sign-On und die Credential-Synchronisation. Die genannten Technologien
sind allerdings schon recht alt und haben jeweils nur einen begrenzten Einsatzbe-
