TACACS+ vs RADIUS

မိမိရဲ့ အဖွဲ့အစည်းအတွင်းမှာ AAA အသုံးပြုဖို့ ဆုံးဖြတ်လိုက်ပီ ဆိုရင်ပဲ ပထမဆုံး အနေနဲ့ အလွန်ပဲသင့်တော်တဲ့ ဆုံးဖြတ်ချက် တစ်ခုကို ချမှတ်ပြီးပြီလို့ဆိုနိုင်ပါတယ်။ နောက်တဆင့် အနေနဲ့ AAA ကို ဘယ်နေရာတွေမှာ အသုံးပြု မယ်ဆိုတာ သတ်မှတ်ရပါမယ်။ Network Access အတွက်လား Devices Administration အတွက်လား ဆိုတာ ကြည့်ရပါမယ်။ အဲဒီအပေါ်မှာ မူတည်ပြီးတော့ ကိုယ့်အသုံးပြုမဲ့ AAA Server နဲ့ AAA Protocol ကို ရွေးချယ်ရပါ လိမ့်မယ်။ အဲဒီမှာ လိုအပ်ချက် နှစ်မျိုးစလုံးအတွက် AAA စနစ် နှစ်မျိုး အသုံးပြုမလား၊ တစ်မျိုးသာ သုံးမလားဆိုတာ ဆုံးဖြတ်ရပါတယ်။ ဒီတော့ RADIUS လား TACACS+ လား၊ ဘာသုံးမလဲဆိုတာက မေးခွန်းဖြစ်လာပါတယ်။

ဒီနှစ်ခုရဲ့ အဓိက အသုံးပြုပုံကို လေ့လာကြည့်ရင် RADIUS ကို Network Access အနေနဲ့ အသုံးပြုတာဖြစ်ပြီး TACACS+ ကိုတော့ Devices Administration မှာ အသုံးပြုကြပါတယ်။ အရင်က TACACS+ ကို Cisco Devices တွေကိုသာ အသုံးပြုကြတယ်လို့ ထင်ရပေမယ့် Vendors အများစုဟာလည်း TACACS+ ကို အသုံးပြုလို့ ရပါတယ်။ နောက်တမျိုးအနေနဲ့ ကြည့်မယ်ဆိုရင် RADIUS ဟာ Subscriber AAA အတွက် အဓိက ဖန်တီးထား တာဖြစ်ပြီး TACACS+ ကိုတော့ Administrator AAA အတွက် တည်ဆောက်ထားတယ်လို့ ဆိုလို့ရပါတယ်။  TACACS+ ရဲ့ အားသာချက်ကတော့ Authorization ပုံစံမတူလို့ ဖြစ်ပါတယ်။ RADIUS က Authentication နဲ့ Authorization ကို တွဲထားပြီး TACACS+ ကတော့ Authorization ကို ခွဲထားလို့ ဖြစ်ပါတယ်။ RADIUS ဟာ Authentication reply လုပ်တဲ့ အချိန်မှာ အဲဒီ Client ရဲ့ ရသင့်တဲ့ Authorization Level ကို တွဲပြီး ပေးလိုက်ပါ တယ်။ အဲဒီ Level အတွင်းမှာ ကြိုက်တာလုပ်ပေါ့။ TACACS+ ကတော့ ဒီလိုမဟုတ်၊ Authentication ပြီးတဲ့ အခါ မှာ Authorization အတွက် Authorization Policy ကိုသုံးပြီး သီးသန့် ထပ်စစ်ပါတယ်။ Administrator က အသုံး ပြုတဲ့ Command Level အထိကို စစ်လို့ရပါတယ်။

မြင်သာအောင် ဥပမာနဲ့ ထပ်ကြည့်ရမယ်ဆိုရင်တော့ တည်းခိုခန်းမှာ တည်းတဲ့ ပုံစံနဲ့ ဟိုတယ်မှာ တည်းတဲ့ ပုံစံကွာ သလို ပါပဲ။ တည်းခိုခန်းဟာ အခြေခံကြတဲ့ AAA ဖြစ်တဲ့ လာတည်းတဲ့ ဧည့်သည်ကို စာရင်းသွင်းမယ်၊ သူတည်းမဲ့ အခန်းကိုသော့ပေးမယ်၊ အခန်းအတွင်းမှာ ရေဘူးပေးရင်ပေးထားမယ်၊ ဒါဆို သူရဲ့ ဝန်ဆောင်မှုက ပြည့်စုံပြီ။ အဲဒီ ဧည့်သည် အပြင်သွားလို့ပြန်လာရင် စာရင်းသွင်း ထားတဲ့ သူမှန်ရင်သူ့အတွက်သတ်မှတ်ထား တဲ့ အခန်းသော့ကိုပြန် ပေးမယ်။ ဧည့်သည်ပြန်သွားရင် စာရင်းထဲကနေ ဖျက်လိုက်မယ်။ ဟိုတယ် ကတော့ အဲဒီထက်ပိုတဲ့ ဝန်ဆောင်မှုကို ပေးနိုင်တယ်။ ဧည့်သည် တစ်ယောက်ရောက်လာရင် သူဝယ်ထားတဲ့ အဆင့်ပေါ်မူတည်ပြီး မနက်စာ ပါသလား၊ရေ ချိုးကန်ရှိတဲ့ အခန်းယူမှာလား၊ အခန်းအတွင်းက မီနီဘားအသုံးပြုမလား၊ အထပ်မြင့်ယူမလား၊မြင်ကွင်းကောင်းတဲ့ အခန်းနေမလား စသဖြင့် ခွင့်ပြုနိုင်တဲ့ ကိစ္စတွေကို ခွဲခြားပြီး ထပ်ပေးလို့ရတယ်။ အဲဒီမှာလည်း အနိမ့်ဆုံးဝင်ဆောင် မှုတွေဖြစ်တဲ့ ရေကူးကန် အသုံးပြုခွင့်၊ Gym သုံးခွင့် စတာတွေကို အားလုံးကိုပေးထားလို့ရတယ်။ Privilege level ဆိုပါတော့။ အဲဒီပေးလိုက်တဲ့ Authorization အပေါ်မူတည်ပြီး ဧည့်သည်က ဘာဟာဖြစ်လုပ်လို့ရတယ်၊ ဘာဟာ ကတော့ မရဘူးဆိုတဲ့ဟာမျိုးကို ပိုမို ထိန်းချုပ်လို့ရသလို၊ ပိုမိုဝန်ဆောင်မှုပေးနိုင်တယ်။ တည်းခိုခန်းမှာ သုံးတဲ့စနစ်၊ Protocol နဲ့ ဟိုတယ်မှာ သုံးတဲ့ စနစ် Protocol မတူတာကို တွေ့ရလိမ့်မယ်။ TACACS+ က ဟိုတယ်မှာ သုံးတဲ့ Protocol လိုမျိုး ဘယ် Admin ဆိုရင်တော့ ဘယ် Devices တွေ ကိုင်လို့ရတယ်၊ ဘယ် Command တွေ သုံးလို့ရ တယ်ဆိုတာမျိုးကိုပါ အသေးစိတ် စစ်ဆေးလုပ်ဆောင်ပေးနိုင်တယ်။ ဒါကြောင့် Devices Administration  အတွက် ဆိုရင် TACACS+ က အားသားတယ်။ ပေါ့ပေါ့ပါးပါး Network Access အတွက်ပဲဆိုရင်တော့ RADIUS ကိုသုံးပေါ့။

ပေါ့ပေါ့ပါးပါးလို့ဆိုတဲ့နေရာမှာလည်း သူတို့ Transport အနေနဲ့ သုံးတဲ့ Protocol က မတူဘူး။ RADIUS က UDP ကိုသုံးတယ်၊ TACACS+ က TCP ကို သုံးတယ်။ ထုံးစံအတိုင်းက TCP က overhead ပိုများတာပေါ့။ TCP က Connection oriented ဆိုတော့ကာ Reliability မှာ အားသာပြန်တယ်။ တဖန် RADIUS က TACACS+ လို the whole packet ကို encryption မလုပ်တဲ့အတွက် လုံခြုံရေးအရလည်း အားနည်းပြန်တယ်။ ဒါတွေက TACACS+ ကို ဇောင်းပေးပြီး ပြောထားတဲ့ အကြောင်းအရာတွေ၊ RADIUS မှာလည်း သူရဲ့ အားသာချက်တွေ ရှိတယ်။ အဓိက ကတော့ ကိုယ်အဖွဲ့အစည်းက လိုအပ်ချက်နဲ့ အခြေအနေပေါ်မူတည်ပြီး ဘာသုံးမလဲဆိုတာ ရွေးရမှာပဲ။ Authorization ကိစ္စကို လျော့ပေါ့ ပြီး စနစ် တစ်ခုတည်း အသုံးပြုရင်လည်း ရတာပဲ။ ဒါမှ မဟုတ် Network Access Control အတွက် RADIUS ကိုသုံး၊ Devices Administration အတွက် TACACS+ ကိုသုံးကြတာတွေ လည်း ဒုနဲ့ဒေးပါပဲ။ ဒါပေမဲ့ Server သက်သာအောင် RADIUS ရော၊ TACACS+ ကို တစ်လုံးထဲမှာ မထားကြဖို့ ကိုတော့ အကြံပေးထားတာတွေ ဖတ်ရတယ်။ အဲဒီလိုလည်း နှစ်ခုစလုံးကို Server တစ်လုံးထဲမှာ တင်ပြီး မသုံးခဲ့ဘူးတော့ ဘာပြဿနာ တွေဖြစ်ကြမလဲဆိုတာတော့ မပြောတတ်ဘူး။

ဒီလောက် ဆိုရင်တော့ ဘာဆိုရင် ဘာသုံး ဆိုတာလောက်တော့ အင်တာဗျူးတွေမှာ ဖြေလို့ရလောက်ပါပြီ။ ဟိုတယ် ဆားဗစ်တွေက နမူနာပါ၊ တကယ်ဆို ဟိုတယ် စနစ်က ဒီထက်ပိုပြီးရှုပ်ထွေးပါတယ်။ တခြား ဘာဝန်ဆောင်မှုတွေ ရှိသေးလည်းဆိုတာ ဆက်စဉ်းစားမနေပါနဲ့။

ကိုဖြိုး။

AAA

Routers/Switches တွေကိုဝင်ရောက်တဲ့အခါ အခြေခံအဖြစ် Enable password/ Line password တို့ကို အသုံး ပြုကြပါတယ်။ ပထမအဆင့် အနေနဲ့ Authentication အတွက်ပါ။ အဲဒီကမှ တဆင့် Local လို့ခေါ်တဲ့ Devices တွေအတွင်းမှာ ထည့်ရေးရတဲ့ User name ကို Privilege Level ခွဲပြီး အသုံးပြုကြပါတယ်။ Authorization အတွက်ပါ။ ပြီးရင် Logging on ပြီးတော့ ဘယ်သူတွေ ဝင်သွားတယ်ဆိုတဲ့ အခြေခံအကျဆုံး Accounting အလုပ်အတွက်ပါ။ AAA (Authentication, Authorization, Accounting) ကို အနိမ့်ဆုံးအနေနဲ့ အသုံးပြုထားတဲ့ ပုံစံလို့ပြောရင် ရပါတယ်။

ဒီလိုအသုံးပြုတဲ့ပုံစံဟာ အရေအတွက်အနည်းငယ် အတွက်တော့ အဆင်ပြေပါတယ်။ ဒါပေမဲ့ ကိုယ့်အဖွဲ့ အစည်း အတွင်းမှာရှိတဲ့ Network Devices တွေရဲ့ အရေအတွက်က များလာပြီ၊ အသုံးပြုတဲ့ ဝန်ထမ်းတွေ များလာပြီ ဆိုရင်တော့ အဆင်မပြေတော့ပါဘူး။ ဥပမာ Router/Switch တွေ အခု ၅၀ လောက်ရှိတဲ့ နေရာမျိုး ဆိုပါတော့။ အဲဒီ အလုံး ၅၀ အတွက် Login AAA အတွက် လိုက်ပြီး ထည့်ဖို့ရာ ခရီးမရောက်ပါဘူး။ Password ပြောင်းဖို့ ကိစ္စတစ်ခုကို အရင်စဉ်းစားကြည့်ပါ။ အကြိမ် ၅၀ လိုက်ပြောင်းရမှာပါ။ နောက်တစ်ခါ ဝန်ထမ်းတစ်ယောက် ထွက်သွားပြီ၊ အသစ် တစ်ယောက်ဝင်လာပြီ ဆိုရင်ကော။ ရှိသမျှ Devices တွေ အားလုံးမှာ လိုက်ပြင်၊ လိုက်ထည့်ရမှာပေါ့။ ဒါဆိုရင် တော့ အဆင်မပြေဘူး၊ အကုန်လုံးကို Enable/Line password နဲ့သာ ပေးဝင်လိုက်ဆိုရင်တော့ အရင်က ရခဲ့တဲ့ အခြေခံ အကျဆုံး AAA လေးပါ ပျောက်သွားမှာ ဖြစ်ပါတယ်။ ဒီကိစ္စကို ဖြေရှင်းဖို့အတွက်ဆိုရင်တော့ AAA server ကို အသုံးပြုရမှာဖြစ်ပါတယ်။

AAA ဆိုဘာလဲ၊ ဘာကြောင့်အရေးကြီးတာလဲဆိုတာကိုတော့ အရင်သိထားဖို့လိုပါလိမ့်မယ်။ AAA ဆိုတာ Authentication, Authorization, Accounting ကိုပြောတာပါ။ မြင်သာအောင် ဥပမာ ပြရမယ်ဆိုရင် အစိုးရ ရုံးတွေကို တစ်ခါလောက် သွားကြည့်လိုက်ပါ။ ရုံးအတွင်းကို ဝင်ဖို့အတွက် ဝန်ထမ်းတွေက ဝန်ထမ်းကဒ်ပြပြီး ဝင်ကြပါတယ်။ ဝန်ထမ်းကဒ်မှာ ဘယ်သူ ဘယ်ဝါဆိုပြီးတော့ အမည်၊ ဌာန၊ ဓါတ်ပုံ တွေနဲ့ သတ်မှတ်ထားတာ ကို တွေ့မှာပါ။ အဲဒါ User Identify လုပ်တာပါ။ လုံခြုံရေးက အဲဒီကဒ်နဲ့ လူနဲ့ကို တိုက်ကြည့်ပြီး ပေးဝင်ပါ တယ်။  ဒါဟာ Identification နဲ့ Authentication process ပါ။ အဲဒီဝန်ထမ်းရဲ့ အချက်အလက်တွေကိုတော့ သူအလုပ်စဝင်တဲ့ အချိန်တုန်းက သတ်မှတ်ပေးပြီး တော့ ဗဟိုထိန်းချုပ်တဲ့ ဖိုင်တွေမှာမှတ်ထားပါတယ်။ AAA server ရဲ့ အစိတ်အပိုင်းတစ်ခုဆိုပါတော့။ အဲဒီ ဗဟိုဖိုင်မှာပဲ သူရဲ့ ရာထူး၊ ဌာနခွဲ အရ သူသွားနိုင်နဲ့ နေရာတွေ၊ လုပ်ပိုင်ခွင့် ရှိတဲ့အရာတွေကို သတ်မှတ်ထားပါတယ်။ အဲဒါကတော့ Authorization ပါ။ ရုံးထဲကို Authenticate လုပ်ပြီး ဝင်လာရုံနဲ့ လုပ်ချင်တာ လုပ်လို့မရပါဘူး။ Authorization နဲ့ ပြန်ခွဲ၊ ပြန်ထိန်းထား ပါတယ်။ ‘Who is trusted to perform which operations’ ။ ပြီးရင် သူရဲ့ ရုံးတက်မှတ်တမ်း၊ လုပ်ပိုင်ခွင့်ရတဲ့ ကိစ္စတွေမှာ ထိုးရတဲ့ လက်မှတ်၊ စတာတွေဟာ သက်သေခံ အချက်အလက်တွေဖြစ်တဲ့ အတွက် Accounting လို့ ဆိုရမှာပါ။ Accounting ဆိုတာက Accountability ကိုပြောတာပါ။ သူရဲ့လုပ်ဆောင်မှုတွေကို စောင့်ကြည့် ဖို့၊ ပြန်လည်စစ်ဆေးနိုင်ဖို့အတွက်ပါ။ Auditing, Logging and monitoring ဆိုတဲ့ အချက်တွေနဲ့ ပြည့်စုံရမှာ ဖြစ်ပါတယ်။

ဒီလုပ်ဆောင်ပုံတွေဟာ Privilege ရှိတဲ့ ဝန်ထမ်းတွေမှာတောင် အဆင့်ဆင့် ခွဲထားပြီး ထိန်းချုပ်ထားတဲ့ ပုံစံပါ။ ဒါဆို ဧည့်သည်တွေဆိုရင်ရော။ သူတို့ကိုတော့ Privilege အနိမ့်ဆုံးဖြစ်တဲ့ Read-only user အဖြစ် မြင်ကြည့်နိုင်ပါတယ်။ ဧည့်သည်တွေလာတဲ့အခါ သူတို့ရဲ့ ကိုယ်ရေးအချက်အလက်တွေကို ယူထားပြီး အနိမ့်ဆုံး Privilege ဖြစ်တဲ့ ရုံးအတွင်း ဝင်ရောက်ခွင့် Visitor pass ကိုသာ ပေးလေ့ရှိပါတယ်။ အခုပြောခဲ့တဲ့ ရုံးအတွင်းဝင်ရောက်တဲ့ပုံစံကို အသုံးပြုတဲ့ Manual documentation process အစား Computerized system နဲ့ အစားထိုးလိုက်မယ်ဆိုရင် ကျွန်တော်တို့ Devices တွေကို Login ဝင်တဲ့ပုံစံနဲ့ ပိုပြီးယှဉ်ကြည့်လို့ ရပါ လိ်မ့်မယ်။ အဲဒီတော့ အပေါ်က ပြဿနာကို ဖြေရှင်းဖို့ ဆက်ရမယ်ဆိုရင် အဲဒီ Devices တွေကိုဝင်ရောက် ဖို့အတွက် Centralized Control ဖြစ်တဲ့ AAA server ထားရှိရပါမယ်။ အဲဒီ Server အတွင်းမှာ Devices list, user list, privilege level စသဖြင့် ထည့်ထားပြီး Devices အားလုံးကနေ အဲဒီ Server ကိုလှမ်းချိတ်ထား ရပါတယ်။ တခုခု အပြောင်းအလည်း လုပ်ချင်ရင် Server မှာ ပြောင်းလိုက်တာနဲ့တင် အကုန်လုံးကို ပြင်ထား ပြီးသွားဖြစ်သွားပါလိမ့်မယ်။ Devices/Clients to Server ကို RADIUS သို့မဟုတ် TACACS+ protocol အသုံးပြုပြီး ချိတ်ဆက်ရပါတယ်။ အဲဒီ အကြောင်းကို သီးသန့်ထပ်ရေးပါအုံးမယ်။

အခုလောက်ဆိုရင် Devices Administration အတွက် AAA server အသုံးပြုရတဲ့ အကြောင်း၊ AAA ဆိုတာ ဘာလဲဆိုတာကို တီးမိခေါက်မိ ရှိလောက်ပြီလို့ ထင်ပါတယ်။

ကိုဖြိုး