Penso que todas as respostas acima não abordam o cerne da sua pergunta, por isso estou a acrescentar mais. As outras respostas enquadram-se mais no aspecto InfoSec do RADIUS, mas vou dar-lhe o SysAdmin run down. (Nota lateral: esta pergunta deveria provavelmente ter sido feita em ServerFault.)
Qual é a diferença entre um servidor RADIUS e Active Directory?
Active Directory é, antes de mais nada, uma base de dados de gestão de identidade. A gestão de identidades é uma forma elegante de dizer que se tem um repositório centralizado onde se armazenam “identidades”, tais como contas de utilizadores. Em termos leigos, é uma lista de pessoas (ou computadores) que são autorizadas a ligar-se aos recursos da sua rede. Isto significa que em vez de ter uma conta de utilizador num computador e uma conta de utilizador noutro computador, tem uma conta de utilizador em AD que pode ser utilizada em ambos os computadores. Na prática, o Active Directory é muito mais complexo do que isto, rastrear/autorizar/agarrar utilizadores, dispositivos, serviços, aplicações, políticas, definições, etc.
RADIUS é um protocolo para passar pedidos de autenticação a um sistema de gestão de identidade. Em termos leigos, é um conjunto de regras que regem a comunicação entre um dispositivo (cliente RADIUS) e uma base de dados de utilizadores (servidor RADIUS). Isto é útil porque é robusto e generalizado, permitindo que muitos dispositivos diferentes comuniquem autenticação com sistemas de gestão de identidade completamente não relacionados com os quais normalmente não trabalhariam.
Um servidor RADIUS é um servidor ou aparelho ou dispositivo que recebe pedidos de autenticação do cliente RADIUS e depois passa esses pedidos de autenticação para o seu sistema de gestão de identidade. É um tradutor que ajuda os seus dispositivos a comunicar com o seu sistema de gestão de identidade quando não falam nativamente a mesma língua.
Por que precisaria eu de um servidor RADIUS se os meus clientes se podem ligar e autenticar com Active Directory?
Você não precisa. Se o AD é o seu fornecedor de identidade e se os seus clientes podem nativamente ligar-se e autenticar-se com AD, então não precisa de RADIUS. Um exemplo seria ter um PC Windows ligado ao seu domínio AD e um utilizador AD iniciar sessão no mesmo. O Active Directory pode autenticar tanto o computador como o utilizador por si próprio sem qualquer ajuda.
Quando preciso de um servidor RADIUS?
- Quando os seus clientes não se podem ligar e autenticar com o Active Directory.
Muitos dispositivos de rede de nível empresarial não fazem interface directa com o Active Directory. O exemplo mais comum que os utilizadores finais podem notar é a ligação a WiFi. A maioria dos routers sem fios, controladores WLAN, e pontos de acesso não suportam nativamente a autenticação de um logon contra Active Directory. Assim, em vez de iniciar sessão na rede sem fios com o seu nome de utilizador e palavra-passe AD, inicia sessão com uma palavra-passe WiFi distinta. Isto é OK, mas não é óptimo. Todos na sua empresa conhecem a palavra-passe WiFi e provavelmente partilham-na com os seus amigos (e alguns dispositivos móveis irão partilhá-la com os seus amigos sem lhe perguntar).
RADIUS resolve este problema criando uma forma de os seus WAPs ou controlador WLAN obterem as credenciais de nome de utilizador e palavra-passe de um utilizador e passarem-nas para o Active Directory para serem autenticadas. Isto significa que, em vez de ter uma password WiFi genérica que todos na sua empresa conhecem, pode entrar no WiFi com um nome de utilizador e uma password AD. Isto é legal porque centraliza a sua gestão de identidade e proporciona um controlo de acesso mais seguro à sua rede.
A gestão centralizada da identidade é um princípio chave na Tecnologia da Informação e melhora drasticamente a segurança e a capacidade de gestão de uma rede complexa. Um fornecedor centralizado de identidade permite-lhe gerir utilizadores e dispositivos autorizados através da sua rede a partir de um único local.
O controlo de acesso é outro princípio chave muito relacionado com a gestão de identidade, porque limita o acesso a recursos sensíveis apenas às pessoas ou dispositivos autorizados a aceder a esses recursos.
- Quando o Active Directory não é o seu fornecedor de identidade.
Muitas empresas utilizam agora fornecedores de identidade em “nuvem” online, tais como Office 365, Centrify, G-Suite, etc. Existem também vários fornecedores de identidade *nix e, se for velho, ainda existem servidores Mac a flutuar por aí com o seu próprio directório para gestão de identidade. A identidade em nuvem está a tornar-se muito mais comum e, a acreditar nos roadmaps da Microsoft, acabará por substituir totalmente o Active Directory on-premises. Porque RADIUS é um protocolo genérico, funciona igualmente bem, quer as suas identidades sejam armazenadas em AD, Red Hat Directory Server, ou Jump Cloud.
In Summary
Você quer usar um fornecedor de identidade centralizado a fim de controlar o acesso aos recursos da rede. Alguns dos dispositivos da sua rede podem não suportar nativamente o fornecedor de identidade que utiliza. Sem RADIUS, poderá ser forçado a usar credenciais “locais” nestes dispositivos, descentralizando a sua identidade e reduzindo a segurança. RADIUS permite que estes dispositivos (sejam eles quais forem) se liguem ao seu fornecedor de identidade (seja ele qual for) para que possa manter uma gestão centralizada da identidade.
RADIUS é também muito mais complexo e flexível do que este exemplo, como as outras respostas já explicadas.
Mais uma nota. RADIUS já não é uma parte separada e única do Windows Server e já não o é há anos. O suporte para o protocolo RADIUS está integrado no papel do servidor Network Policy Server (NPS) no Windows Server. O NPS é utilizado por defeito para autenticar clientes VPN Windows contra AD, embora tecnicamente não utilize o RADIUS para o fazer. O NPS também pode ser utilizado para configurar requisitos de acesso específicos, tais como políticas de saúde, e pode restringir o acesso à rede a clientes que não cumpram as normas que se definem (aka NAP, Network Access Protection).