TACACS+ vs. RADIUS: AAA-Design für Cisco-Umgebungen

TACACS+ vs. RADIUS ist in Cisco-Umgebungen keine akademische Frage, sondern eine zentrale Designentscheidung für sichere und betrieblich stabile AAA-Architekturen (Authentication, Authorization, Accounting). Wer Geräte-Administration, Automatisierung, Netzwerkzugang (802.1X), VPN-Authentifizierung und Audit-Anforderungen sauber abbilden will, muss verstehen, wofür TACACS+ und RADIUS jeweils optimiert sind – und wo die typischen Fallstricke liegen. In der Praxis scheitern AAA-Projekte selten an der „Konfiguration an sich“, sondern an unklaren Zielen: Soll ein Admin nur Show-Befehle dürfen oder auch Config? Muss jede CLI-Aktion revisionssicher geloggt werden? Wie verhindern Sie, dass ein AAA-Ausfall den Betrieb lahmlegt, ohne lokale Backdoors zu öffnen? Wie integrieren Sie Identity Provider, MFA, Jump Hosts und Automationskonten, ohne eine unkontrollierbare Rechte-Landschaft zu erzeugen?

Grundsätzlich gilt: RADIUS ist historisch und funktional stark im Bereich Network Access Control (NAC) und „Access Decisions“ (z. B. 802.1X, WLAN, VPN), weil es Authentifizierung und Autorisierung gemeinsam transportiert und mit Attributen wie VLAN, dACLs, Rollen und Session-Parametern arbeitet. TACACS+ ist hingegen traditionell die erste Wahl für Device Administration, weil es feingranulare Autorisierung bis auf Befehls- oder Konfigurationslevel ermöglicht und umfangreiches Accounting für Admin-Aktivitäten liefert. Dennoch gibt es keine Einheitslösung: Viele professionelle Cisco-Umgebungen nutzen beide Protokolle parallel – RADIUS für Netzwerkzugang, TACACS+ für Geräteverwaltung – und integrieren beides über einen zentralen AAA-Stack (z. B. Cisco ISE für RADIUS/NAC, Cisco Secure ACS historisch, oder Drittanbieter/IdP-Integrationen). Dieser Artikel zeigt, wie Sie TACACS+ und RADIUS richtig einordnen, welche Designmuster sich bewährt haben und wie Sie ein AAA-Design bauen, das sicher, auditierbar und im Day-2-Betrieb zuverlässig ist.

AAA als Systemdesign: Was Sie vor der Protokollwahl festlegen sollten

Bevor Sie TACACS+ oder RADIUS vergleichen, sollten Sie definieren, welche AAA-Domänen Sie abdecken. In Cisco-Umgebungen werden häufig mehrere Bereiche vermischt: Geräte-Administration (SSH/CLI), Netzwerkzugang (Switchports/WLAN), VPN-Zugänge, API/Automation, und Monitoring/Read-only. Jede Domäne hat andere Anforderungen an Autorisierung, Logging und Ausfallsicherheit.

• Device Administration: Wer darf auf Router/Switch/Firewall? Welche Befehle? Welche Konfigänderungen? Vollständiges Command Accounting?
• Network Access (NAC): Wer darf an den Port? Welche Rolle/VLAN/dACL? Posture-Checks? Session-Lifetime?
• Remote Access / VPN: MFA, Gruppen, Split-Tunnel-Policy, Session-Timeouts, Accounting für Logins.
• Automation: Service Accounts, API-Token/SSH-Keys, begrenzte Rechte, starke Auditspur, Rotationsprozesse.
• Break-Glass: Lokaler Notfallzugang, streng kontrolliert, dokumentiert, getestet.

Was TACACS+ ist: Starke Wahl für Geräteverwaltung und Command Authorization

TACACS+ (Terminal Access Controller Access-Control System Plus) ist in Cisco-Welten besonders beliebt für administrative Zugriffe auf Netzwerkgeräte. Der wichtigste Vorteil ist die Trennung von Authentication, Authorization und Accounting als klare Schritte: Erst wird authentifiziert, dann autorisiert (inklusive Befehlsfreigabe), dann wird jede Aktion protokolliert. Dadurch lässt sich ein rollenbasiertes Modell sehr fein granular abbilden, beispielsweise „Operator darf show“, „Engineer darf config“, „Security darf AAA/ACLs ändern“.

• Command Authorization: Befehle können erlaubt/abgelehnt werden, je Rolle und Kontext.
• Command Accounting: Jede ausgeführte CLI-Aktion kann geloggt werden (wer, wann, welcher Befehl).
• Klarer Admin-Fokus: Primär für Gerätezugang konzipiert, nicht für Port-basierten Netzwerkzugang.

Für das AAA-Konzept und die Rolle von TACACS+ in Device Administration ist die Cisco-Dokumentation ein praxisnaher Einstieg, z. B. über den Cisco TACACS+ Überblick in den offiziellen Security- und AAA-Guides (siehe Outbound-Links unten).

Was RADIUS ist: Standard für Netzwerkzugang, 802.1X und Policy-Attribute

RADIUS (Remote Authentication Dial-In User Service) ist der De-facto-Standard für Authentifizierung und Autorisierung im Netzwerkzugang. In Cisco-Designs ist RADIUS besonders stark bei 802.1X (Switchports, WLAN), MAB (MAC Authentication Bypass), VPN-Authentifizierung und dynamischen Policies: VLAN-Zuweisung, Downloadable ACLs (dACL), Rollen/SGT, Session-Timeouts, QoS-Profile oder Access-Lists können über RADIUS-Attribute gesteuert werden.

• NAC-Fokus: Identität → Policy → Session-Parameter, ideal für große Clientzahlen.
• Attribut-basiert: Policy wird über Attribute (AVPs) transportiert, sehr flexibel für Access Decisions.
• Accounting: Sitzungsbasiertes Accounting (Start/Stop/Interim) ist etabliert, z. B. für WLAN/VPN.

RADIUS ist standardisiert und breit interoperabel, was die Integration in Identity Provider, NAC-Plattformen und Multi-Vendor-Umgebungen erleichtert. Eine solide Basis bietet RFC 2865 (RADIUS) und RFC 2866 (RADIUS Accounting).

Direkter Vergleich: Worin TACACS+ und RADIUS sich in der Praxis unterscheiden

Der Kernunterschied liegt nicht nur im Protokoll, sondern im Einsatzprofil. Beide können „AAA“, aber sie sind für unterschiedliche Ziele optimiert. Ein professionelles Design nutzt diese Stärken aus, statt ein Protokoll für alles zu erzwingen.

• Primärer Use Case: TACACS+ für Device Admin; RADIUS für Network Access (802.1X/WLAN/VPN).
• Granularität: TACACS+ kann Befehle/Kommandos autorisieren; RADIUS ist stärker bei Session- und Access-Attributen.
• Accounting: TACACS+ glänzt bei Command Accounting; RADIUS bei Session Accounting (Start/Stop/Interim).
• Interoperabilität: RADIUS ist universeller standardisiert; TACACS+ ist stark in Cisco-Ökosystemen verbreitet.
• Betriebsmodell: TACACS+ Policies folgen oft Rollen/Befehlen; RADIUS Policies folgen Identität/Zustand/Device/Port.

Designmuster 1: „Best of Both“ – RADIUS für NAC, TACACS+ für Admin

Das in Enterprise-Netzen häufig beste Muster ist eine klare Trennung: RADIUS steuert den Netzwerkzugang für Endgeräte (802.1X, WLAN, VPN), während TACACS+ die Administratorzugriffe auf Netzwerkgeräte regelt. Dadurch wird jedes Protokoll in seiner Komfortzone betrieben, und Sie vermeiden, RADIUS „verbiegen“ zu müssen, um Befehlsautorisierung auf CLI-Ebene zu simulieren.

• RADIUS: 802.1X/MAB, VLAN/dACL/Role, Posture, Guest/Onboarding, VPN Auth.
• TACACS+: SSH/CLI Admin, Rollen, Command Sets, Change-Audit.
• Gemeinsame Identity: Zentraler IdP (AD/LDAP/SSO) liefert Identitäten, AAA-Server setzen Policies durch.

Designmuster 2: TACACS+ first für Operations – Rollen und Befehlsrechte sauber modellieren

Wenn der Schwerpunkt auf sicherer Geräteverwaltung liegt, ist TACACS+ häufig die sauberste Wahl. Der Mehrwert entsteht dabei nicht durch „TACACS+ aktiv“, sondern durch ein konsequentes Rollenmodell und durch die Definition kritischer Befehlsbereiche, die nur wenigen Rollen erlaubt sind.

• Viewer: Nur Show/Read, keine Konfigbefehle.
• Operator: Operative Aktionen (z. B. Interface shutdown/no shutdown), aber keine AAA/ACL/Core-Routing-Policies.
• Engineer: Config Changes, aber mit Einschränkungen für besonders riskante Bereiche.
• Security/Admin: AAA, Management Plane, CoPP, Key Management, zentrale Policies.

Ein professioneller Zusatz ist ein „Change-Guard“: bestimmte Befehle (z. B. AAA, Management ACLs, Routing-Policy) werden nicht nur technisch begrenzt, sondern auch prozessual abgesichert (Peer Review, Change Ticket, Break-Glass Prozedur).

Designmuster 3: RADIUS first für Zugangsentscheidungen – Policy-Engine statt ACL-Salat

Wenn Sie Port-basierte Zugangssteuerung, dynamische Rollen und segmentbasierte Policies (z. B. VLAN, dACL, SGT) brauchen, ist RADIUS in der Regel die bessere Wahl. Der zentrale Vorteil: Sie treffen Access Decisions anhand von Identität, Device-Typ, Standort, Uhrzeit, Compliance-Status und Profiling – und setzen sie konsistent durch, ohne pro Switchport statische ACLs zu pflegen.

• 802.1X für Corporate: Identität und Gerätezustand entscheiden über Zugriff.
• MAB für Legacy: Für IoT/Printer, aber mit strengem Profiling und eingeschränkten Rollen.
• Guest: Separate Policy, separate VLANs, zeitlich begrenzte Sessions.
• Accounting: Session Logs für Compliance und Troubleshooting (wer war wann wo).

Security-Details, die in der Praxis zählen: Verschlüsselung, Keys und Transport

AAA ist sicherheitssensibel, weil es Credentials und Policy-Entscheidungen transportiert. In der Praxis scheitert Hardening oft an „kleinen“ Dingen: geteilte Secrets sind zu schwach, Zeit ist unsynchron (NTP fehlt), Quellinterfaces wechseln, oder Firewalls erlauben AAA nur halb. Ein robustes AAA-Design nutzt klare Source-Interfaces, stabile Routingpfade (Management-VRF), und einen Lifecycle für Secrets und Keys.

• Management-VRF/OOB: AAA-Traffic vom User-Netz trennen.
• Source Interface definieren: Damit AAA-Firewall-Regeln stabil bleiben.
• NTP als Pflicht: Ohne Zeit stimmen Logs, Accounting und oft MFA-Flows nicht.
• Secret Rotation: Regelmäßige Rotation und sichere Ablage (Vault), keine Hardcoded Secrets in Scripts.

High Availability: AAA darf nicht zum Single Point of Failure werden

Der häufigste betriebliche Gegenargument gegen „hartes AAA“ lautet: „Was, wenn AAA down ist?“ Ein professionelles Design löst das mit Redundanz und klaren Fallback-Regeln, nicht mit dauerhaft offenen lokalen Admin-Accounts. Die Kunst besteht darin, den Betrieb auch bei AAA-Störungen sicherzustellen, ohne die Management Plane zu entwerten.

• Mehrere AAA-Server: Mindestens zwei, idealerweise in getrennten Failure Domains.
• Failover-Logik: Klare Reihenfolge, Timeouts nicht zu hoch (sonst träge Logins), nicht zu niedrig (sonst Flaps).
• Lokales Break-Glass: Nur für Notfälle, streng kontrolliert, getestet, dokumentiert.
• Fail-Open vs. Fail-Closed: Für Device Admin meist fail-closed mit Break-Glass; für NAC je nach Umfeld differenziert (z. B. Critical Auth VLAN).

Audit und Compliance: Accounting ist nicht optional

Viele Unternehmen unterschätzen, wie stark sich TACACS+ und RADIUS beim Accounting unterscheiden. Für Audits ist nicht nur wichtig, dass jemand Zugriff hatte, sondern auch was geändert wurde. RADIUS ist hervorragend für Session Accounting (wer, wann, wo, wie lange) im NAC/WLAN/VPN-Kontext. TACACS+ ist besonders wertvoll, wenn Sie Command Accounting für Geräteadministration benötigen.

• RADIUS Accounting: Start/Stop/Interim, ideal für Zugangsnachweise und Session Lifecycle.
• TACACS+ Accounting: Command Accounting, ideal für Change-Nachweise und Forensik.
• Ergänzende Logs: Syslog/Config Archives/Telemetry, um Änderungen unabhängig vom AAA-Backend zu belegen.

Typische Fehler und Anti-Patterns in Cisco AAA-Designs

• Ein Protokoll für alles: RADIUS für Device Admin ohne saubere Command Authorization führt zu groben Rechten; TACACS+ für NAC führt zu unhandlichen Policies.
• Shared Admin Accounts: Keine individuelle Accountability, Audit-Fail, hohes Risiko bei Credential Leak.
• Keine Rollen: „Alle sind priv 15“ ist ein Designfehler, kein Betriebszustand.
• AAA ohne HA: Ein AAA-Server ist ein Single Point of Failure; die Folge sind Notfall-Backdoors.
• Unklare Source-IP: AAA-Traffic kommt mal von Interface A, mal von B; Firewalls/Policies brechen, Debugging wird schwierig.
• Timeouts falsch: Zu lange Timeouts machen Logins träge; zu kurze erzeugen Failover-Flapping und Fehlalarme.
• Keine Secret Rotation: Geteilte Secrets werden zu „ewigen Passwörtern“ und landen irgendwann in Tickets oder Skripten.

Entscheidungshilfe: Welche Fragen Ihre Protokollwahl objektiv machen

• Brauchen Sie Command Authorization auf Netzwerkgeräten? Wenn ja, spricht das stark für TACACS+.
• Steuern Sie 802.1X/WLAN/VPN mit dynamischen Rollen/Attributen? Wenn ja, ist RADIUS der Standard.
• Welche Auditpflichten existieren? Session Accounting (RADIUS) vs. Command Accounting (TACACS+).
• Wie sieht Ihr Betriebsmodell aus? Jump Hosts, MFA, Automationsaccounts, Rollen, Change-Prozess.
• Wie hoch ist die Ausfalltoleranz? AAA-HA, Break-Glass, Fail-Open/Closed Entscheidungen.

Blueprint: Ein praxistaugliches AAA-Zielbild für Cisco-Umgebungen

• Device Admin: TACACS+ mit Rollen, Command Sets, Command Accounting; SSH nur aus Management-VRF, VTY Allowlist.
• Network Access: RADIUS für 802.1X/MAB/WLAN/VPN; Policies zentral, dynamische VLANs/dACL/Role.
• Identity Backbone: AD/LDAP/IdP als Quelle, MFA für Admin-Zugänge (über Jump Host oder AAA-Integration).
• HA: Zwei oder mehr AAA-Server, getrennte Failure Domains, getestete Fallbacks.
• Logging: Zentraler Logstack, Accounting-Korrelation, Zeit via NTP, Alarmierung bei AAA-Ausfällen.
• Lifecycle: Secret Rotation, Offboarding-Prozess, regelmäßige Rechte-Reviews.

Outbound-Referenzen

• RFC 2865 (RADIUS) als technische Grundlage für RADIUS Authentication/Authorization.
• RFC 2866 (RADIUS Accounting) für Session Accounting (Start/Stop/Interim).
• Cisco Support: TACACS+ – Konzepte und Einsatz als Cisco-orientierte Referenz für TACACS+ in Device-Administration-Szenarien.
• Cisco Support: RADIUS und AAA – Konzepte als Einstieg in AAA-Implementierungen und Designüberlegungen.
• Cisco Identity Services Engine (ISE) als Referenz für RADIUS/NAC-Designs, Policy-Modelle und 802.1X-Workflows in Cisco-Umgebungen.
• Cisco IOS XE Configuration Guides für plattformspezifische AAA-Konfiguration, TACACS+/RADIUS-Integration, VTY-Access-Controls und Accounting-Details.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.