Penso che tutte le risposte di cui sopra non riescano ad affrontare il nocciolo della tua domanda, quindi ne aggiungo altre. Le altre risposte sono più in linea con l’aspetto InfoSec di RADIUS, ma ho intenzione di darvi il run down del SysAdmin. (Nota a margine: questa domanda avrebbe dovuto essere posta in ServerFault.)
Qual è la differenza tra un server RADIUS e Active Directory?
Active Directory è prima di tutto un database di gestione delle identità. La gestione delle identità è un modo fantasioso per dire che si ha un repository centralizzato dove si memorizzano le “identità”, come gli account utente. In termini profani è una lista di persone (o computer) che hanno il permesso di connettersi alle risorse della vostra rete. Questo significa che invece di avere un account utente su un computer e un account utente su un altro computer, si ha un account utente in AD che può essere utilizzato su entrambi i computer. Active Directory in pratica è molto più complesso di questo, tracciando/autorizzando/proteggendo utenti, dispositivi, servizi, applicazioni, politiche, impostazioni, ecc.
RADIUS è un protocollo per passare richieste di autenticazione a un sistema di gestione delle identità. In termini profani è un insieme di regole che governano la comunicazione tra un dispositivo (client RADIUS) e un database di utenti (server RADIUS). È utile perché è robusto e generalizzato, permettendo a molti dispositivi disparati di comunicare l’autenticazione con sistemi di gestione dell’identità completamente estranei con cui normalmente non funzionerebbero.
Un server RADIUS è un server o apparecchio o dispositivo che riceve le richieste di autenticazione dal client RADIUS e poi le passa al sistema di gestione dell’identità. È un traduttore che aiuta i vostri dispositivi a comunicare con il vostro sistema di gestione delle identità quando non parlano nativamente la stessa lingua.
Perché avrei bisogno di un server RADIUS se i miei client possono connettersi e autenticarsi con Active Directory?
Non ne avete bisogno. Se AD è il vostro identity provider e se i vostri clienti possono connettersi e autenticarsi nativamente con AD, allora non avete bisogno di RADIUS. Un esempio potrebbe essere avere un PC Windows unito al vostro dominio AD e un utente AD vi accede. Active Directory può autenticare sia il computer che l’utente da solo senza alcun aiuto.
Quando ho bisogno di un server RADIUS?
- Quando i vostri client non possono connettersi e autenticarsi con Active Directory.
Molti dispositivi di rete di livello enterprise non si interfacciano direttamente con Active Directory. L’esempio più comune che gli utenti finali potrebbero notare è la connessione al WiFi. La maggior parte dei router wireless, dei controller WLAN e degli access point non supportano nativamente l’autenticazione di un logon con Active Directory. Quindi, invece di accedere alla rete wireless con il tuo nome utente e la tua password AD, accedi con una password WiFi distinta. Questo va bene, ma non è il massimo. Tutti nella vostra azienda conoscono la password WiFi e probabilmente la condividono con i loro amici (e alcuni dispositivi mobili la condivideranno con i loro amici senza chiedervelo).
RADIUS risolve questo problema creando un modo per i vostri WAP o controller WLAN di prendere le credenziali di username e password da un utente e passarle ad Active Directory per essere autenticate. Questo significa che, invece di avere una password WiFi generica che tutti nell’azienda conoscono, si può accedere al WiFi con un nome utente e una password AD. Questo è bello perché centralizza la gestione dell’identità e fornisce un controllo dell’accesso più sicuro alla rete.
La gestione centralizzata dell’identità è un principio chiave nell’Information Technology e migliora notevolmente la sicurezza e la gestibilità di una rete complessa. Un identity provider centralizzato permette di gestire gli utenti e i dispositivi autorizzati in tutta la rete da un’unica posizione.
Il controllo degli accessi è un altro principio chiave strettamente legato alla gestione delle identità, perché limita l’accesso alle risorse sensibili solo a quelle persone o dispositivi che sono autorizzati ad accedervi.
- Quando Active Directory non è il vostro identity provider.
Molte aziende ora usano identity provider online “cloud”, come Office 365, Centrify, G-Suite, ecc. Ci sono anche vari provider di identità *nix e, se sei old-skool, ci sono anche ancora server Mac che galleggiano in giro con la propria directory per la gestione delle identità. L’identità nel cloud sta diventando molto più comune e, se si deve credere alle tabelle di marcia di Microsoft, alla fine sostituirà completamente Active Directory in sede. Poiché RADIUS è un protocollo generico, funziona altrettanto bene sia che le vostre identità siano memorizzate in AD, Red Hat Directory Server, o Jump Cloud.
In sintesi
Si vuole usare un provider di identità centralizzato per controllare l’accesso alle risorse di rete. Alcuni dei dispositivi sulla vostra rete potrebbero non supportare nativamente il provider di identità che usate. Senza RADIUS, potreste essere costretti a usare credenziali “locali” su questi dispositivi, decentralizzando la vostra identità e riducendo la sicurezza. RADIUS permette a questi dispositivi (qualunque essi siano) di connettersi al vostro identity provider (qualunque esso sia) in modo da poter mantenere una gestione centralizzata delle identità.
RADIUS è anche molto più complesso e flessibile di questo esempio, come le altre risposte hanno già spiegato.
Un’altra nota. RADIUS non è più una parte separata e unica di Windows Server e non lo è più da anni. Il supporto per il protocollo RADIUS è incorporato nel ruolo del server Network Policy Server (NPS) in Windows Server. NPS è usato di default per autenticare i client Windows VPN con AD, anche se tecnicamente non usa RADIUS per farlo. NPS può anche essere usato per configurare requisiti di accesso specifici, come le politiche sanitarie, e può limitare l’accesso alla rete per i client che non soddisfano gli standard impostati (aka NAP, Network Access Protection).