Ich denke, dass alle obigen Antworten nicht den Kern Ihrer Frage ansprechen, also füge ich mehr hinzu. Die anderen Antworten passen eher zum InfoSec-Aspekt von RADIUS, aber ich werde Ihnen den SysAdmin-Run Down geben. (Nebenbemerkung: Diese Frage hätte wahrscheinlich in ServerFault gestellt werden sollen.)
Was ist der Unterschied zwischen einem RADIUS-Server und Active Directory?
Active Directory ist in erster Linie eine Identitätsmanagement-Datenbank. Identitätsmanagement ist eine schicke Art zu sagen, dass Sie ein zentrales Repository haben, in dem Sie „Identitäten“, wie zum Beispiel Benutzerkonten, speichern. Laienhaft ausgedrückt handelt es sich dabei um eine Liste von Personen (oder Computern), die eine Verbindung zu Ressourcen in Ihrem Netzwerk herstellen dürfen. Das bedeutet, dass Sie, anstatt ein Benutzerkonto auf einem Computer und ein Benutzerkonto auf einem anderen Computer zu haben, ein Benutzerkonto im AD haben, das auf beiden Computern verwendet werden kann. In der Praxis ist Active Directory weitaus komplexer, da es Benutzer, Geräte, Dienste, Anwendungen, Richtlinien, Einstellungen usw. verfolgt, autorisiert und absichert.
RADIUS ist ein Protokoll zur Weitergabe von Authentifizierungsanfragen an ein Identitätsmanagementsystem. Laienhaft ausgedrückt ist es ein Satz von Regeln, die die Kommunikation zwischen einem Gerät (RADIUS-Client) und einer Benutzerdatenbank (RADIUS-Server) regeln. Das ist nützlich, weil es robust und verallgemeinert ist und es vielen unterschiedlichen Geräten erlaubt, Authentifizierung mit völlig unverbundenen Identitätsmanagement-Systemen zu kommunizieren, mit denen sie normalerweise nicht zusammenarbeiten würden.
Ein RADIUS-Server ist ein Server oder ein Gerät, das Authentifizierungsanfragen vom RADIUS-Client erhält und dann diese Authentifizierungsanfragen an Ihr Identitätsmanagement-System weiterleitet. Es ist ein Übersetzer, der Ihren Geräten hilft, mit Ihrem Identitätsmanagementsystem zu kommunizieren, wenn sie nicht von Haus aus die gleiche Sprache sprechen.
Warum sollte ich einen RADIUS-Server benötigen, wenn meine Clients sich mit Active Directory verbinden und authentifizieren können?
Sie brauchen keinen. Wenn AD Ihr Identitätsprovider ist und wenn Ihre Clients sich nativ mit AD verbinden und authentifizieren können, dann brauchen Sie keinen RADIUS. Ein Beispiel wäre ein Windows-PC, der mit Ihrer AD-Domäne verbunden ist, und ein AD-Benutzer meldet sich bei ihm an. Active Directory kann sowohl den Computer als auch den Benutzer ohne Hilfe authentifizieren.
Wann brauche ich einen RADIUS-Server?
- Wenn Ihre Clients sich nicht mit Active Directory verbinden und authentifizieren können.
Viele Netzwerkgeräte in Unternehmen haben keine direkte Schnittstelle zu Active Directory. Das häufigste Beispiel, das Endbenutzern auffallen könnte, ist die Verbindung mit WiFi. Die meisten Wireless-Router, WLAN-Controller und Access Points unterstützen nicht nativ die Authentifizierung einer Anmeldung gegen Active Directory. Anstatt sich also mit Ihrem AD-Benutzernamen und -Passwort am drahtlosen Netzwerk anzumelden, melden Sie sich stattdessen mit einem bestimmten WiFi-Passwort an. Das ist in Ordnung, aber nicht gut. Jeder in Ihrer Firma kennt das WiFi-Passwort und teilt es wahrscheinlich mit seinen Freunden (und einige mobile Geräte teilen es mit ihren Freunden, ohne Sie zu fragen).
RADIUS löst dieses Problem, indem es eine Möglichkeit für Ihre WAPs oder WLAN-Controller schafft, Benutzernamen und Passwort-Anmeldedaten von einem Benutzer zu nehmen und diese zur Authentifizierung an Active Directory weiterzuleiten. Das bedeutet, dass Sie statt eines generischen WiFi-Passworts, das jeder in Ihrer Firma kennt, sich mit einem AD-Benutzernamen und -Passwort am WiFi anmelden können. Das ist cool, weil es Ihr Identitätsmanagement zentralisiert und eine sicherere Zugangskontrolle zu Ihrem Netzwerk bietet.
Zentrales Identitätsmanagement ist ein Schlüsselprinzip in der Informationstechnologie und es verbessert die Sicherheit und Verwaltbarkeit eines komplexen Netzwerks dramatisch. Ein zentralisierter Identitätsprovider ermöglicht es Ihnen, autorisierte Benutzer und Geräte in Ihrem gesamten Netzwerk von einem einzigen Standort aus zu verwalten.
Zugriffskontrolle ist ein weiteres Schlüsselprinzip, das sehr eng mit dem Identitätsmanagement verbunden ist, da es den Zugriff auf sensible Ressourcen auf die Personen oder Geräte beschränkt, die für den Zugriff auf diese Ressourcen autorisiert sind.
- Wenn Active Directory nicht Ihr Identitätsprovider ist.
Viele Unternehmen verwenden heute Online-„Cloud“-Identitätsprovider wie Office 365, Centrify, G-Suite usw. Es gibt auch verschiedene *nix-Identitätsanbieter und, wenn Sie altmodisch sind, gibt es sogar noch Mac-Server mit einem eigenen Verzeichnis für die Identitätsverwaltung. Cloud-Identität wird immer üblicher und wird, wenn man Microsofts Roadmaps glauben darf, irgendwann Active Directory vor Ort vollständig ersetzen. Da RADIUS ein generisches Protokoll ist, funktioniert es genauso gut, egal ob Ihre Identitäten in AD, Red Hat Directory Server oder Jump Cloud gespeichert sind.
Zusammenfassung
Sie möchten einen zentralisierten Identitätsanbieter verwenden, um den Zugriff auf Netzwerkressourcen zu steuern. Einige der Geräte in Ihrem Netzwerk unterstützen den von Ihnen verwendeten Identity Provider möglicherweise nicht nativ. Ohne RADIUS sind Sie möglicherweise gezwungen, „lokale“ Anmeldeinformationen auf diesen Geräten zu verwenden, was Ihre Identität dezentralisiert und die Sicherheit verringert. RADIUS ermöglicht es diesen Geräten (was auch immer sie sind), sich mit Ihrem Identitätsprovider (was auch immer das ist) zu verbinden, so dass Sie ein zentralisiertes Identitätsmanagement beibehalten können.
RADIUS ist auch viel komplexer und flexibler als dieses Beispiel, wie die anderen Antworten bereits erklärt haben.
Eine weitere Anmerkung. RADIUS ist kein separater und eigenständiger Teil von Windows Server mehr und das schon seit Jahren nicht mehr. Die Unterstützung für das RADIUS-Protokoll ist in die Serverrolle Network Policy Server (NPS) in Windows Server integriert. NPS wird standardmäßig verwendet, um Windows VPN-Clients gegen AD zu authentifizieren, obwohl er technisch gesehen nicht RADIUS dazu verwendet. NPS kann auch verwendet werden, um spezifische Zugriffsanforderungen zu konfigurieren, wie z. B. Gesundheitsrichtlinien, und kann den Netzwerkzugriff für Clients einschränken, die die von Ihnen festgelegten Standards nicht erfüllen (auch bekannt als NAP, Network Access Protection).