Je pense que toutes les réponses ci-dessus ne répondent pas au cœur de votre question, alors j’en ajoute d’autres. Les autres réponses correspondent plus à l’aspect InfoSec de RADIUS, mais je vais vous donner le run down SysAdmin. (Note annexe : cette question aurait probablement dû être posée dans ServerFault.)
Quelle est la différence entre un serveur RADIUS et Active Directory?
Active Directory est avant tout une base de données de gestion d’identité. La gestion des identités est une façon fantaisiste de dire que vous avez un référentiel centralisé où vous stockez les « identités », comme les comptes d’utilisateurs. En termes simples, il s’agit d’une liste de personnes (ou d’ordinateurs) autorisées à se connecter aux ressources de votre réseau. Cela signifie qu’au lieu d’avoir un compte d’utilisateur sur un ordinateur et un compte d’utilisateur sur un autre ordinateur, vous avez un compte d’utilisateur dans AD qui peut être utilisé sur les deux ordinateurs. Dans la pratique, Active Directory est bien plus complexe que cela : il suit/autorise/sécurise les utilisateurs, les appareils, les services, les applications, les politiques, les paramètres, etc.
RADIUS est un protocole permettant de transmettre les demandes d’authentification à un système de gestion d’identité. En termes simples, c’est un ensemble de règles qui régissent la communication entre un appareil (client RADIUS) et une base de données d’utilisateurs (serveur RADIUS). Ce dernier est utile car il est robuste et généralisé, permettant à de nombreux appareils disparates de communiquer l’authentification avec des systèmes de gestion d’identité complètement indépendants avec lesquels ils ne fonctionneraient pas d’ordinaire.
Un serveur RADIUS est un serveur ou un appareil ou un dispositif qui reçoit les demandes d’authentification du client RADIUS et transmet ensuite ces demandes d’authentification à votre système de gestion d’identité. C’est un traducteur qui aide vos appareils à communiquer avec votre système de gestion d’identité lorsqu’ils ne parlent pas nativement la même langue.
Pourquoi aurais-je besoin d’un serveur RADIUS si mes clients peuvent se connecter et s’authentifier avec Active Directory ?
Vous n’en avez pas besoin. Si AD est votre fournisseur d’identité et si vos clients peuvent nativement se connecter et s’authentifier avec AD, alors vous n’avez pas besoin de RADIUS. Un exemple serait d’avoir un PC Windows joint à votre domaine AD et qu’un utilisateur AD s’y connecte. Active Directory peut authentifier à la fois l’ordinateur et l’utilisateur par lui-même sans aucune aide.
Quand ai-je besoin d’un serveur RADIUS ?
- Quand vos clients ne peuvent pas se connecter et s’authentifier avec Active Directory.
De nombreux périphériques réseau de niveau entreprise ne s’interfacent pas directement avec Active Directory. L’exemple le plus courant que les utilisateurs finaux pourraient remarquer est la connexion au WiFi. La plupart des routeurs sans fil, des contrôleurs WLAN et des points d’accès ne prennent pas en charge nativement l’authentification d’une connexion contre Active Directory. Ainsi, au lieu de vous connecter au réseau sans fil avec votre nom d’utilisateur et votre mot de passe AD, vous vous connectez avec un mot de passe WiFi distinct. C’est bien, mais pas génial. Tout le monde dans votre entreprise connaît le mot de passe WiFi et le partage probablement avec ses amis (et certains appareils mobiles le partagent avec leurs amis sans vous le demander).
RADIUS résout ce problème en créant un moyen pour vos WAP ou votre contrôleur WLAN de prendre les informations d’identification du nom d’utilisateur et du mot de passe d’un utilisateur et de les transmettre à Active Directory pour être authentifiées. Cela signifie que, au lieu d’avoir un mot de passe WiFi générique que tout le monde dans votre entreprise connaît, vous pouvez vous connecter au WiFi avec un nom d’utilisateur et un mot de passe AD. C’est cool parce que cela centralise votre gestion d’identité et fournit un contrôle d’accès plus sécurisé à votre réseau.
La gestion centralisée des identités est un principe clé dans les technologies de l’information et elle améliore considérablement la sécurité et la gérabilité d’un réseau complexe. Un fournisseur d’identité centralisé vous permet de gérer les utilisateurs et les appareils autorisés sur l’ensemble de votre réseau à partir d’un seul emplacement.
Le contrôle d’accès est un autre principe clé très étroitement lié à la gestion des identités car il limite l’accès aux ressources sensibles aux seules personnes ou appareils qui sont autorisés à accéder à ces ressources.
- Quand Active Directory n’est pas votre fournisseur d’identité.
De nombreuses entreprises utilisent désormais des fournisseurs d’identité « en nuage » en ligne, comme Office 365, Centrify, G-Suite, etc. Il existe également divers fournisseurs d’identité *nix et, si vous êtes old-skool, il y a même encore des serveurs Mac qui flottent avec leur propre annuaire pour la gestion des identités. L’identité en nuage devient beaucoup plus courante et, si l’on en croit les feuilles de route de Microsoft, elle finira par remplacer complètement l’Active Directory sur site. RADIUS étant un protocole générique, il fonctionne aussi bien que vos identités soient stockées dans AD, Red Hat Directory Server ou Jump Cloud.
En résumé
Vous souhaitez utiliser un fournisseur d’identité centralisé afin de contrôler l’accès aux ressources du réseau. Certains des appareils de votre réseau peuvent ne pas prendre en charge nativement le fournisseur d’identité que vous utilisez. Sans RADIUS, vous pouvez être contraint d’utiliser des informations d’identification « locales » sur ces appareils, ce qui décentralise votre identité et réduit la sécurité. RADIUS permet à ces appareils (quels qu’ils soient) de se connecter à votre fournisseur d’identité (quel qu’il soit) afin que vous puissiez maintenir une gestion centralisée de l’identité.
RADIUS est également beaucoup plus complexe et flexible que cet exemple, comme les autres réponses l’ont déjà expliqué.
Une dernière remarque. RADIUS n’est plus une partie distincte et unique de Windows Server et il ne l’a pas été pendant des années. La prise en charge du protocole RADIUS est intégrée au rôle de serveur Network Policy Server (NPS) dans Windows Server. NPS est utilisé par défaut pour authentifier les clients Windows VPN par rapport à AD, bien que techniquement il n’utilise pas RADIUS pour le faire. NPS peut également être utilisé pour configurer des exigences d’accès spécifiques, telles que des politiques de santé, et peut restreindre l’accès au réseau pour les clients qui ne répondent pas aux normes que vous avez définies (alias NAP, Network Access Protection).