Myślę, że wszystkie powyższe odpowiedzi nie odnoszą się do sedna Twojego pytania, więc dodaję więcej. Inne odpowiedzi pasują bardziej do InfoSec aspektu RADIUS, ale zamierzam dać Ci SysAdmin run down. (Uwaga: to pytanie prawdopodobnie powinno być zadane w ServerFault.)
Jaka jest różnica między serwerem RADIUS a Active Directory?
Active Directory jest przede wszystkim bazą danych do zarządzania tożsamością. Zarządzanie tożsamością to wymyślny sposób na powiedzenie, że masz scentralizowane repozytorium, w którym przechowujesz „tożsamości”, takie jak konta użytkowników. W terminologii laika jest to lista osób (lub komputerów), które mają prawo do łączenia się z zasobami w sieci. Oznacza to, że zamiast mieć konto użytkownika na jednym komputerze i konto użytkownika na innym komputerze, masz konto użytkownika w AD, które może być używane na obu komputerach. Active Directory w praktyce jest o wiele bardziej złożone niż to, śledząc/autoryzując/zabezpieczając użytkowników, urządzenia, usługi, aplikacje, polityki, ustawienia itp.
RADIUS jest protokołem przekazywania żądań uwierzytelnienia do systemu zarządzania tożsamością. W uproszczeniu jest to zestaw reguł, które regulują komunikację pomiędzy urządzeniem (klient RADIUS) a bazą danych użytkowników (serwer RADIUS). Jest to użyteczne, ponieważ jest solidne i ogólne, pozwalając wielu różnym urządzeniom na komunikację uwierzytelniania z zupełnie niepowiązanymi systemami zarządzania tożsamością, z którymi normalnie by nie współpracowały.
Serwer RADIUS jest serwerem, urządzeniem lub aplikacją, która odbiera żądania uwierzytelnienia od klienta RADIUS, a następnie przekazuje te żądania uwierzytelnienia do systemu zarządzania tożsamością. Jest to tłumacz, który pomaga Twoim urządzeniom komunikować się z systemem zarządzania tożsamością, gdy nie mówią one natywnie tym samym językiem.
Dlaczego miałbym potrzebować serwera RADIUS, jeśli moi klienci mogą łączyć się i uwierzytelniać za pomocą Active Directory?
Nie potrzebujesz. Jeśli AD jest Twoim dostawcą tożsamości i jeśli Twoi klienci mogą natywnie łączyć się i uwierzytelniać z AD, wtedy nie potrzebujesz RADIUS. Przykładem może być komputer z systemem Windows podłączony do domeny AD, do którego loguje się użytkownik AD. Active Directory może samodzielnie uwierzytelnić zarówno komputer, jak i użytkownika bez żadnej pomocy.
Kiedy potrzebny jest serwer RADIUS?
- Gdy klienci nie mogą połączyć się i uwierzytelnić z Active Directory.
Wiele urządzeń sieciowych klasy korporacyjnej nie ma bezpośredniego interfejsu z Active Directory. Najczęstszym przykładem, który użytkownicy końcowi mogą zauważyć jest łączenie się z siecią WiFi. Większość routerów bezprzewodowych, kontrolerów WLAN i punktów dostępowych nie obsługuje natywnie uwierzytelniania logowania względem Active Directory. Tak więc zamiast logować się do sieci bezprzewodowej za pomocą nazwy użytkownika AD i hasła, logujesz się za pomocą odrębnego hasła WiFi. To jest OK, ale nie wspaniałe. Każdy w Twojej firmie zna hasło WiFi i prawdopodobnie dzieli się nim ze swoimi znajomymi (a niektóre urządzenia mobilne dzielą się nim ze swoimi znajomymi bez pytania).
RADIUS rozwiązuje ten problem poprzez stworzenie sposobu dla Twoich WAP lub kontrolera WLAN, aby pobrać nazwę użytkownika i hasło od użytkownika i przekazać je do Active Directory w celu uwierzytelnienia. Oznacza to, że zamiast mieć ogólne hasło do WiFi, które zna każdy w Twojej firmie, możesz zalogować się do WiFi za pomocą nazwy użytkownika i hasła AD. To jest fajne, ponieważ centralizuje zarządzanie tożsamością i zapewnia bezpieczniejszą kontrolę dostępu do sieci.
Scentralizowane zarządzanie tożsamością jest kluczową zasadą w technologii informacyjnej i radykalnie poprawia bezpieczeństwo i łatwość zarządzania złożoną siecią. Scentralizowany dostawca tożsamości pozwala zarządzać autoryzowanymi użytkownikami i urządzeniami w całej sieci z jednego miejsca.
Kontrola dostępu to kolejna kluczowa zasada bardzo ściśle związana z zarządzaniem tożsamością, ponieważ ogranicza dostęp do wrażliwych zasobów tylko do tych osób lub urządzeń, które są upoważnione do dostępu do tych zasobów.
- Gdy Active Directory nie jest Twoim dostawcą tożsamości.
Wiele firm korzysta obecnie z internetowych dostawców tożsamości „w chmurze”, takich jak Office 365, Centrify, G-Suite itp. Istnieją również różni dostawcy tożsamości *nix, a jeśli jesteś old-skool, istnieją nawet wciąż serwery Mac pływające wokół z ich własnym katalogiem do zarządzania tożsamością. Tożsamość w chmurze staje się coraz bardziej powszechna i, jeśli wierzyć mapom drogowym Microsoftu, ostatecznie w pełni zastąpi lokalną Active Directory. Ponieważ RADIUS jest protokołem ogólnym, działa tak samo dobrze niezależnie od tego, czy tożsamość jest przechowywana w AD, Red Hat Directory Server, czy Jump Cloud.
Podsumowanie
Chcesz użyć scentralizowanego dostawcy tożsamości, aby kontrolować dostęp do zasobów sieciowych. Niektóre z urządzeń w sieci mogą nie obsługiwać natywnie dostawcy tożsamości, którego używasz. Bez RADIUS-a możesz być zmuszony do używania „lokalnych” poświadczeń na tych urządzeniach, decentralizując swoją tożsamość i zmniejszając bezpieczeństwo. RADIUS pozwala tym urządzeniom (czymkolwiek są) łączyć się z Twoim dostawcą tożsamości (czymkolwiek on jest), dzięki czemu możesz zachować scentralizowane zarządzanie tożsamością.
RADIUS jest również znacznie bardziej złożony i elastyczny niż ten przykład, co zostało już wyjaśnione w innych odpowiedziach.
Jeszcze jedna uwaga. RADIUS nie jest już oddzielną i unikalną częścią Windows Server i nie był nią od lat. Wsparcie dla protokołu RADIUS jest wbudowane w rolę serwera Network Policy Server (NPS) w Windows Server. NPS jest domyślnie używany do uwierzytelniania klientów Windows VPN względem AD, choć technicznie nie używa do tego RADIUS. NPS może być również używany do konfigurowania specyficznych wymagań dostępu, takich jak polityki zdrowotne, i może ograniczać dostęp do sieci dla klientów, którzy nie spełniają ustalonych standardów (aka NAP, Network Access Protection).