Creo que todas las respuestas anteriores no abordan el meollo de tu pregunta, así que voy a añadir más. Las otras respuestas encajan más en el aspecto InfoSec de RADIUS, pero voy a darle la carrera SysAdmin abajo. (Nota al margen: esta pregunta probablemente debería haber sido formulada en ServerFault.)
¿Cuál es la diferencia entre un servidor RADIUS y Active Directory?
Active Directory es una base de datos de gestión de identidades ante todo. La gestión de identidades es una forma elegante de decir que tienes un repositorio centralizado donde almacenas «identidades», como cuentas de usuario. En términos sencillos, es una lista de personas (u ordenadores) que pueden conectarse a los recursos de la red. Esto significa que, en lugar de tener una cuenta de usuario en un ordenador y otra en otro, tienes una cuenta de usuario en AD que puede utilizarse en ambos ordenadores. En la práctica, Active Directory es mucho más complejo que esto, rastreando/autorizando/segurando usuarios, dispositivos, servicios, aplicaciones, políticas, configuraciones, etc.
RADIUS es un protocolo para pasar solicitudes de autenticación a un sistema de gestión de identidades. En términos sencillos es un conjunto de reglas que gobiernan la comunicación entre un dispositivo (cliente RADIUS) y una base de datos de usuarios (servidor RADIUS). Es útil porque es robusto y generalizado, lo que permite que muchos dispositivos dispares comuniquen la autenticación con sistemas de gestión de identidades completamente no relacionados con los que normalmente no trabajarían.
Un servidor RADIUS es un servidor o aparato o dispositivo que recibe las solicitudes de autenticación del cliente RADIUS y luego pasa esas solicitudes de autenticación a su sistema de gestión de identidades. Es un traductor que ayuda a tus dispositivos a comunicarse con tu sistema de gestión de identidades cuando no hablan nativamente el mismo idioma.
¿Por qué necesitaría un servidor RADIUS si mis clientes pueden conectarse y autenticarse con Active Directory?
No lo necesitas. Si AD es tu proveedor de identidad y si tus clientes pueden conectarse y autenticarse nativamente con AD, entonces no necesitas RADIUS. Un ejemplo sería tener un PC con Windows unido a tu dominio AD y que un usuario AD inicie sesión en él. Active Directory puede autenticar tanto el equipo como el usuario por sí mismo sin ninguna ayuda.
¿Cuándo necesito un servidor RADIUS?
- Cuando sus clientes no pueden conectarse y autenticarse con Active Directory.
Muchos dispositivos de red de nivel empresarial no interactúan directamente con Active Directory. El ejemplo más común que los usuarios finales pueden notar es la conexión a WiFi. La mayoría de los enrutadores inalámbricos, controladores WLAN y puntos de acceso no admiten de forma nativa la autenticación de un inicio de sesión con Active Directory. Por lo tanto, en lugar de iniciar la sesión en la red inalámbrica con el nombre de usuario y la contraseña de AD, se inicia la sesión con una contraseña WiFi distinta. Esto está bien, pero no es genial. Todo el mundo en su empresa conoce la contraseña del WiFi y probablemente la comparte con sus amigos (y algunos dispositivos móviles la compartirán con sus amigos sin preguntarle).
RADIUS resuelve este problema creando una forma para que sus WAPs o controlador WLAN tomen las credenciales de nombre de usuario y contraseña de un usuario y las pasen a través de Active Directory para ser autenticadas. Esto significa que, en lugar de tener una contraseña genérica de WiFi que todo el mundo en su empresa conoce, puede iniciar sesión en el WiFi con un nombre de usuario y contraseña de AD. Esto es genial porque centraliza su gestión de identidades y proporciona un control de acceso más seguro a su red.
La gestión de identidades centralizada es un principio clave en la tecnología de la información y mejora drásticamente la seguridad y la capacidad de gestión de una red compleja. Un proveedor de identidades centralizado le permite gestionar los usuarios y dispositivos autorizados en toda su red desde una única ubicación.
El control de acceso es otro principio clave muy relacionado con la gestión de identidades, ya que limita el acceso a los recursos sensibles sólo a aquellas personas o dispositivos que están autorizados a acceder a esos recursos.
- Cuando Active Directory no es su proveedor de identidades.
Muchas empresas utilizan ahora proveedores de identidades en línea «en la nube», como Office 365, Centrify, G-Suite, etc. También hay varios proveedores de identidad *nix y, si eres veterano, incluso todavía hay servidores Mac flotando con su propio directorio para la gestión de la identidad. La identidad en la nube se está convirtiendo en algo muy común y, si nos atenemos a las hojas de ruta de Microsoft, acabará sustituyendo por completo al Active Directory local. Debido a que RADIUS es un protocolo genérico, funciona igual de bien si sus identidades están almacenadas en AD, Red Hat Directory Server o Jump Cloud.
En resumen
Usted quiere usar un proveedor de identidades centralizado para controlar el acceso a los recursos de la red. Es posible que algunos de los dispositivos de su red no admitan de forma nativa el proveedor de identidad que utiliza. Sin RADIUS, puede verse obligado a utilizar credenciales «locales» en estos dispositivos, descentralizando su identidad y reduciendo la seguridad. RADIUS permite que estos dispositivos (sean los que sean) se conecten a su proveedor de identidad (sea el que sea) para que pueda mantener una gestión de identidades centralizada.
RADIUS también es mucho más complejo y flexible que este ejemplo, como ya han explicado las otras respuestas.
Una nota más. RADIUS ya no es una parte separada y única de Windows Server y no lo ha sido durante años. El soporte para el protocolo RADIUS está incorporado en el rol de servidor del Servidor de Políticas de Red (NPS) en Windows Server. NPS se utiliza por defecto para autenticar a los clientes de Windows VPN contra AD, aunque técnicamente no utiliza RADIUS para hacerlo. NPS también se puede utilizar para configurar requisitos de acceso específicos, como las políticas de salud, y puede restringir el acceso a la red para los clientes que no cumplen con las normas que se establecen (aka NAP, Network Access Protection).