RFC 9887 - 基于TLS 1.3的终端访问控制器访问控制系统增强版
基本信息
- RFC编号: 9887
- 标题: Terminal Access Controller Access-Control System Plus (TACACS+) over TLS 1.3
- 中文标题: 基于TLS 1.3的终端访问控制器访问控制系统增强版(TACACS+)
- 发布日期: 2025年12月
- 状态: PROPOSED STANDARD (提案标准)
- 作者:
- T. Dahm (Google Inc.)
- A. Ota (Google Inc.)
- D. C. Medway Gash (Cisco Systems, Inc.)
- D. Carrel (Carrel Consulting, LLC)
- L. Grant (TAOSII, LLC)
摘要 (Abstract)
终端访问控制器访问控制系统增强版(TACACS+)协议为集中式访问控制提供设备管理。本文档更新了RFC 8907中定义的TACACS+协议,添加了对使用TLS 1.3加密保护TACACS+连接的支持,并对TACACS+的传输层安全使用进行了标准化。
本文档还更新了RFC 8907关于TACACS+单连接模式(Single Connection Mode)和对旧式非标准TACACS+端口使用的描述。本文档废弃了RFC 8907定义的以前的TACACS+加密机制。
本备忘录的状态 (Status of This Memo)
这是一份互联网标准跟踪文档。
本文档是互联网工程任务组(IETF)的产品。它代表了IETF社区的共识。文档已经过公开审查,并已获得互联网工程指导组(IESG)批准发布。有关互联网标准的更多信息,请参见RFC 7841第2节。
有关本文档的当前状态、勘误表以及如何提供反馈的信息,可访问 https://www.rfc-editor.org/info/rfc9887 获取。
版权声明 (Copyright Notice)
Copyright (c) 2025 IETF Trust及文档作者。保留所有权利。
本文档受BCP 78和IETF Trust关于IETF文档的法律规定约束(https://trustee.ietf.org/license-info),这些规定在本文档发布之日有效。请仔细阅读这些文档,因为它们描述了您对本文档的权利和限制。从本文档中提取的代码组件必须包含修订版BSD许可证文本(如Trust法律条款第4.e节所述),并按照修订版BSD许可证中的描述提供,不提供任何保证。
目录 (Table of Contents)
- 1. 简介 (Introduction)
- 2. 基于TLS的TACACS+ (TACACS+ over TLS)
- 3. 单连接模式 (Single Connection Mode)
- 4. 对RFC 8907的更新 (Updates to RFC 8907)
- 5. 安全考虑 (Security Considerations)
- 6. IANA考虑 (IANA Considerations)
- 7. 参考文献 (References)
- 致谢 (Acknowledgments)
- 作者地址 (Authors' Addresses)
说明
本RFC文档定义了如何使用TLS 1.3加密保护TACACS+协议,提升网络设备管理的安全性。建议按照以下顺序阅读:
- 快速理解: 阅读摘要和第1节简介
- 核心内容: 重点阅读第2节了解TACACS+ over TLS的实现
- 安全要点: 阅读第5节安全考虑
- 迁移指南: 第4节说明与旧版的兼容性