上記の回答はいずれもご質問の核心に触れていないと思いますので、さらに追加します。 他の回答は、RADIUSの情報セキュリティの側面により合致していますが、私はSysAdminの観点から説明します。
RADIUSサーバーとActive Directoryの違いは何ですか?
Active Directoryは、何よりもまず、アイデンティティ管理データベースです。 アイデンティティ管理とは、ユーザーアカウントなどの「アイデンティティ」を保存する一元化されたリポジトリを持つことを言います。 平たく言えば、ネットワーク上のリソースへの接続を許可された人(またはコンピュータ)のリストのことです。 つまり、あるコンピュータにユーザーアカウントがあり、別のコンピュータにもユーザーアカウントがあるのではなく、両方のコンピュータで使えるユーザーアカウントがADにあるということです。
RADIUSは、認証要求をID管理システムに渡すためのプロトコルです。 平たく言えば、デバイス(RADIUSクライアント)とユーザーデータベース(RADIUSサーバー)の間の通信を制御する一連のルールのことです。 堅牢性と汎用性に優れているため、多くの異種デバイスが、通常では連携できないような全く関係のないID管理システムと認証通信を行うことができ、便利です。
RADIUSサーバーとは、RADIUSクライアントから認証要求を受け取り、その認証要求をID管理システムに渡すサーバーやアプライアンス、デバイスのことです。
クライアントがActive Directoryに接続して認証できるのに、なぜRADIUSサーバーが必要なのでしょうか?
必要ありません。 ADがアイデンティティプロバイダーであり、クライアントがネイティブにADに接続して認証できるのであれば、RADIUSは必要ありません。 例えば、ADドメインに参加しているWindows PCに、ADユーザーがログインする場合を考えてみましょう。
どのような場合にRADIUSサーバーが必要なのでしょうか?
- クライアントがActive Directoryに接続して認証できない場合
多くの企業グレードのネットワークデバイスは、Active Directoryと直接インターフェイスしません。 エンドユーザーが気づく最も一般的な例は、WiFiへの接続です。 ほとんどのワイヤレス ルーター、WLAN コントローラー、およびアクセス ポイントは、Active Directory に対するログオンの認証をネイティブにサポートしていません。 そのため、ADのユーザー名とパスワードでワイヤレスネットワークにサインインする代わりに、WiFiの個別のパスワードでサインインすることになります。 これは問題ありませんが、素晴らしいことではありません。
RADIUSは、WAPやWLANコントローラーがユーザーからユーザー名とパスワードの認証情報を受け取り、それをActive Directoryに渡して認証する方法を作ることで、この問題を解決します。 つまり、社内の誰もが知っている一般的なWiFiパスワードではなく、ADのユーザー名とパスワードでWiFiにログオンすることができるのです。
アイデンティティ管理の一元化は、情報技術における重要な原則であり、複雑なネットワークのセキュリティと管理性を飛躍的に向上させます。
アクセス制御は、機密性の高いリソースへのアクセスを、そのリソースへのアクセスが許可されている人やデバイスのみに制限するため、アイデンティティ管理と非常に密接に関連するもう1つの重要な原則です。
- Active Directoryがアイデンティティ プロバイダではない場合
現在、多くの企業がOffice 365、Centrify、G-Suiteなどのオンラインの「クラウド」アイデンティティ プロバイダを使用しています。 また、さまざまな *nix のアイデンティティ プロバイダがあり、古いものであれば、アイデンティティ管理のための独自のディレクトリを持つ Mac サーバーもまだ存在しています。 クラウド・アイデンティティははるかに一般的になりつつあり、マイクロソフトのロードマップが信じられるならば、最終的にはオンプレミスのActive Directoryを完全に置き換えることになるでしょう。
In Summary
ネットワーク リソースへのアクセスを制御するために、一元化された ID プロバイダーを使用したいと思います。 ネットワーク上のデバイスの中には、使用しているIDプロバイダーをネイティブにサポートしていないものもあります。 RADIUSがなければ、これらのデバイスで「ローカル」な認証情報を使用せざるを得ず、アイデンティティが分散化され、セキュリティが低下する可能性があります。
RADIUSは、他の回答者がすでに説明しているように、この例よりもはるかに複雑で柔軟性に富んでいます。 RADIUSはもはやWindows Serverの独立した独自の一部ではなく、何年も前からそうなっています。 RADIUSプロトコルのサポートは、Windows ServerのNetwork Policy Server (NPS)サーバーロールに組み込まれています。 NPSは、Windows VPNクライアントのAD認証にデフォルトで使用されていますが、技術的にはRADIUSを使用していません。 NPSは、ヘルスポリシーなどの特定のアクセス要件の設定にも使用でき、設定した基準を満たさないクライアントのネットワークアクセスを制限することができます(別名NAP、Network Access Protection)
。