1. 序論 (Introduction)

「ターミナルアクセスコントローラアクセス制御システムプラス（TACACS+）プロトコル」[RFC8907]は、1つ以上の集中化されたTACACS+サーバーを介して、ルーター、ネットワークアクセスサーバー、およびその他のネットワーク接続されたコンピューティングデバイスのデバイス管理を提供します。このプロトコルは、デバイス管理ユースケース内でTACACS+クライアントに対して認証、認可、アカウンティングサービス（AAA、Authentication, Authorization, and Accounting）を提供します。

プロトコルの内容は非常に機密性が高く、デプロイメントを保護するためにセキュアなトランスポートが必要です。しかし、TACACS+はTACACS+サーバーとクライアント間の接続とネットワークトラフィックの効果的な機密性、完全性、認証が不足しています。[RFC8907]のセクション4.5で説明されているセキュリティメカニズムは極めて脆弱です。

これらの欠陥に対処するため、本文書はTACACS+プロトコルをTLS 1.3認証と暗号化[RFC8446]を使用するように更新し、TACACS+難読化メカニズムの使用を廃止します。バージョン1.3以降のTLSの成熟度により、TACACS+プロトコルに適した選択肢となっています。

2. 技術的定義 (Technical Definitions)

[RFC8907]のセクション3で定義されている用語はここで完全に適用可能であり、繰り返されません。本文書では以下の用語も使用されます。

難読化 (Obfuscation): TACACS+は元々、パケットの本体を保護するメカニズムを組み込むことを意図していました。このアルゴリズムは[RFC8907]のセクション10.5.2で難読化として分類されています。この用語は、アルゴリズムが暗号化と混同されないようにするために使用されています。これはセキュアであると考えるべきではありません。

非TLS接続 (Non-TLS connection): この用語は、[RFC8907]で定義されている接続を指します。これは、TLSを使用しない接続であり、セキュアでないTACACS+認証と難読化（またはテスト用の難読化されていないオプション）を使用します。よく知られたTCP/IPホストポート番号49の使用が、非TLS接続のデフォルトとして指定されています。

TLS接続 (TLS connection): TLS接続は、TACACS+がトランスポートに使用するTLS認証と暗号化を備えたTCP/IP接続です。TACACS+のTLS接続は、常に1つのTACACS+クライアントと1つのTACACS+サーバー間のものです。

TLS TACACS+サーバー: 本文書は、[RFC8907]のセクション3.2で導入されたTACACS+サーバーのバリアントを説明しており、トランスポートにTLSを利用し、関連するプロトコルの最適化を行います。両方のサーバーバリアントはTACACS+トラフィックに応答しますが、本文書では具体的に、TACACS+サーバー（TLSまたは非TLSのいずれか）を、特定のIPアドレスまたはホスト名上の特定のポート番号にバインドされているものとして定義します。この定義は、TACACS+クライアントの構成の文脈において、正しいTACACS+サーバーにトラフィックを向けることを確実にするために重要です。

ピア (Peer): TACACS+接続の文脈におけるTACACS+クライアント（またはサーバー）のピアは、TACACS+サーバー（またはクライアント）です。TACACS+接続の両端は、まとめてピアと呼ばれます。

2.1. 要件表記 (Requirements Language)

本文書のキーワード「しなければならない (MUST)」、「してはならない (MUST NOT)」、「必須である (REQUIRED)」、「することになる (SHALL)」、「することはない (SHALL NOT)」、「すべきである (SHOULD)」、「すべきでない (SHOULD NOT)」、「推奨される (RECOMMENDED)」、「推奨されない (NOT RECOMMENDED)」、「してもよい (MAY)」、および「任意である (OPTIONAL)」は、BCP 14 [RFC2119] [RFC8174]に記載されているように解釈されるものとします。ただし、ここに示すようにすべて大文字で表示される場合に限ります。