Ik denk dat alle bovenstaande antwoorden niet ingaan op de kern van je vraag, dus ik voeg er meer toe. De andere antwoorden sluiten beter aan bij het InfoSec-aspect van RADIUS, maar ik geef u de SysAdmin-versie. (Kanttekening: deze vraag had waarschijnlijk in ServerFault gesteld moeten worden.)
Wat is het verschil tussen een RADIUS-server en Active Directory?
Active Directory is in de allereerste plaats een database voor identiteitsbeheer. Identiteitsbeheer is een mooie manier om te zeggen dat je een gecentraliseerde opslagplaats hebt waar je “identiteiten” opslaat, zoals gebruikersaccounts. In lekentaal is het een lijst van mensen (of computers) die verbinding mogen maken met bronnen op je netwerk. Dit betekent dat in plaats van een gebruikersaccount op de ene computer en een gebruikersaccount op een andere computer, je een gebruikersaccount in AD hebt die op beide computers kan worden gebruikt. In de praktijk is Active Directory veel complexer dan dit, het bijhouden/autoriseren/beveiligen van gebruikers, apparaten, diensten, applicaties, beleid, instellingen, etc.
RADIUS is een protocol voor het doorgeven van authenticatie verzoeken aan een identity management systeem. In lekentaal is het een set regels die de communicatie regelt tussen een apparaat (RADIUS client) en een gebruikersdatabase (RADIUS server). Dit is nuttig omdat het robuust en veralgemeend is, waardoor vele ongelijksoortige apparaten authenticatie kunnen communiceren met volledig ongerelateerde identiteitsbeheersystemen waar ze normaal niet mee zouden werken.
Een RADIUS-server is een server of apparaat of apparaat dat authenticatieverzoeken ontvangt van de RADIUS-client en die authenticatieverzoeken vervolgens doorgeeft aan uw identiteitsbeheersysteem. Het is een vertaler die uw apparaten helpt te communiceren met uw identiteitsbeheersysteem wanneer ze niet dezelfde taal spreken.
Waarom zou ik een RADIUS-server nodig hebben als mijn clients verbinding kunnen maken en zich kunnen authenticeren met Active Directory?
Dat hebt u niet nodig. Als AD je identiteitsprovider is en als je clients verbinding kunnen maken en zich kunnen authenticeren met AD, dan heb je geen RADIUS nodig. Een voorbeeld is een Windows PC die is aangesloten op je AD domein en een AD gebruiker logt in. Active Directory kan zowel de computer als de gebruiker zelf verifiëren zonder enige hulp.
Wanneer heb ik een RADIUS-server nodig?
- Wanneer uw clients geen verbinding kunnen maken met Active Directory en zich daar niet kunnen authenticeren.
Veel netwerkapparatuur van enterprisekwaliteit heeft geen directe interface met Active Directory. Het meest voorkomende voorbeeld dat eindgebruikers kunnen opmerken is de verbinding met WiFi. De meeste draadloze routers, WLAN-controllers en access points ondersteunen de verificatie van een aanmelding met Active Directory niet van nature. Dus in plaats van je aan te melden op het draadloze netwerk met je AD gebruikersnaam en wachtwoord, meld je je aan met een apart WiFi wachtwoord. Dit is OK, maar niet geweldig. Iedereen in uw bedrijf kent het WiFi wachtwoord en deelt het waarschijnlijk met zijn vrienden (en sommige mobiele apparaten delen het met hun vrienden zonder het u te vragen).
RADIUS lost dit probleem op door een manier te creëren voor uw WAP’s of WLAN controller om gebruikersnaam en wachtwoord van een gebruiker te ontvangen en deze door te geven aan Active Directory om te worden geverifieerd. Dit betekent dat, in plaats van een algemeen WiFi wachtwoord dat iedereen in uw bedrijf kent, u kunt inloggen op de WiFi met een AD gebruikersnaam en wachtwoord. Dit is cool, want het centraliseert uw identiteitsbeheer en biedt een veiliger toegangscontrole tot uw netwerk.
Gecentraliseerd identiteitsbeheer is een belangrijk principe in de informatietechnologie en het verbetert de beveiliging en beheerbaarheid van een complex netwerk drastisch. Met een gecentraliseerde identiteitsprovider kunt u geautoriseerde gebruikers en apparaten in uw hele netwerk vanaf één locatie beheren.
Toegangsbeheer is een ander belangrijk principe dat nauw verwant is aan identiteitsbeheer, omdat het de toegang tot gevoelige bronnen beperkt tot alleen die mensen of apparaten die geautoriseerd zijn voor toegang tot die bronnen.
- Wanneer Active Directory niet uw identiteitsprovider is.
Veel bedrijven maken nu gebruik van online “cloud”-identiteitsproviders, zoals Office 365, Centrify, G-Suite, enzovoort. Er zijn ook verschillende *nix-identiteitsproviders en, als je old-skool bent, er zijn zelfs nog Mac-servers die rondzwerven met hun eigen directory voor identiteitsbeheer. Cloud-identiteit wordt steeds gebruikelijker en zal, als we de roadmaps van Microsoft mogen geloven, uiteindelijk Active Directory op locatie volledig vervangen. Omdat RADIUS een generiek protocol is, werkt het net zo goed, ongeacht of uw identiteiten zijn opgeslagen in AD, Red Hat Directory Server of Jump Cloud.
In samenvatting
U wilt een gecentraliseerde identiteitsprovider gebruiken om de toegang tot netwerkbronnen te controleren. Sommige apparaten in uw netwerk ondersteunen mogelijk niet de identiteitsprovider die u gebruikt. Zonder RADIUS kan het zijn dat je gedwongen wordt om “lokale” credentials te gebruiken op deze apparaten, waardoor je identiteit gedecentraliseerd wordt en de veiligheid afneemt. Met RADIUS kunnen deze apparaten (wat het ook zijn) verbinding maken met uw identiteitsprovider (wat het ook is), zodat u gecentraliseerd identiteitsbeheer kunt handhaven.
RADIUS is ook veel complexer en flexibeler dan dit voorbeeld, zoals de andere antwoorden al hebben uitgelegd.
Een opmerking nog. RADIUS is niet langer een apart en uniek onderdeel van Windows Server en dat is het al jaren niet meer. Ondersteuning voor het RADIUS-protocol is ingebouwd in de serverrol Network Policy Server (NPS) in Windows Server. NPS wordt standaard gebruikt om Windows VPN clients te authenticeren tegen AD, hoewel het technisch gezien geen gebruik maakt van RADIUS om dit te doen. NPS kan ook worden gebruikt om specifieke toegangseisen te configureren, zoals gezondheidsbeleid, en kan netwerktoegang beperken voor clients die niet voldoen aan de door u ingestelde normen (ook wel NAP, Network Access Protection).