মূল কন্টেন্টে যান

কীভাবে 802.1X সহ iOS এবং macOS-এ এন্টারপ্রাইজ WiFi সেট আপ করবেন

এই প্রামাণিক নির্দেশিকাটি সিনিয়র আইটি লিডারদের iOS এবং macOS ডিভাইসে 802.1X এন্টারপ্রাইজ WiFi স্থাপনের জন্য কার্যকরী পদক্ষেপ প্রদান করে। এটি BYOD উদ্যোগকে সমর্থন করার পাশাপাশি কর্পোরেট নেটওয়ার্ক সুরক্ষিত করতে সার্টিফিকেট ভিত্তিক প্রমাণীকরণ (EAP-TLS), MDM কনফিগারেশন প্রোফাইল এবং আর্কিটেকচার ইন্টিগ্রেশন কভার করে।

📖 4 মিনিট পাঠ📝 920 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

header_image.png

এক্সিকিউটিভ সামারি

hospitality এবং retail থেকে শুরু করে transport হাব পর্যন্ত বড় ভেন্যু পরিচালনা করছেন এমন CTO এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য এন্টারপ্রাইজ ওয়্যারলেস এজ সুরক্ষিত করা অত্যন্ত গুরুত্বপূর্ণ। স্টাফ এবং কর্পোরেট ডিভাইসে অ্যাক্সেসের জন্য Pre-Shared Keys (PSK) বা ঐতিহ্যগত Captive Portals-এর ওপর নির্ভর করা নেটওয়ার্ককে ক্রেডেনশিয়াল চুরি এবং কমপ্লায়েন্স ব্যর্থতার ঝুঁকির মুখে ফেলে দেয়।

এই টেকনিক্যাল রেফারেন্সটি Apple ডিভাইসের (iOS এবং macOS) জন্য EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) ব্যবহার করে 802.1X বাস্তবায়নের বিস্তারিত বিবরণ দেয়। সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন প্রয়োগ করে, এন্টারপ্রাইজগুলো পাসওয়ার্ড-সম্পর্কিত নিরাপত্তা ঝুঁকি দূর করতে পারে, Jamf এবং Intune-এর মতো Mobile Device Management (MDM) প্ল্যাটফর্মের মাধ্যমে ডিভাইস অনবোর্ডিং সহজ করতে পারে এবং শক্তিশালী নেটওয়ার্ক সেগ্রিগেশন নিশ্চিত করতে পারে। যেখানে Guest WiFi সলিউশন পাবলিক অ্যাক্সেস এবং ডেটা ক্যাপচার পরিচালনা করে, সেখানে একটি সুপরিকল্পিত 802.1X ডেপ্লয়মেন্ট অভ্যন্তরীণ রিসোর্সগুলোকে সুরক্ষিত রাখে, যা PCI-DSS এবং GDPR-এর প্রয়োজনীয়তাগুলোর সাথে কমপ্লায়েন্স নিশ্চিত করে।

আর্কিটেকচার এবং সাধারণ ত্রুটিগুলোর একটি দ্রুত ওভারভিউয়ের জন্য নিচের ১০ মিনিটের টেকনিক্যাল ব্রিফিং পডকাস্টটি শুনুন।

how_to_set_up_enterprise_wifi_on_ios_and_macos_with_802_1x_podcast.wav

টেকনিক্যাল ডিপ-ডাইভ

802.1X আর্কিটেকচার

IEEE 802.1X স্ট্যান্ডার্ডটি Port-Based Network Access Control (PNAC) নির্ধারণ করে। একটি ওয়্যারলেস প্রেক্ষাপটে, এটি ক্লায়েন্টকে (supplicant) ওয়্যারলেস অ্যাক্সেস পয়েন্টের (authenticator) মাধ্যমে ট্রাফিক পাস করা থেকে ব্লক করে যতক্ষণ না একটি RADIUS সার্ভার (authentication server) এর পরিচয় যাচাই করে।

architecture_overview.png

Apple ইকোসিস্টেমের মধ্যে ডেপ্লয়মেন্টের জন্য, EAP-TLS হলো ইন্ডাস্ট্রি স্ট্যান্ডার্ড। PEAP বা TTLS-এর মতো নয়, যা ব্যবহারকারীর ক্রেডেনশিয়ালের ওপর নির্ভর করে যা নিরাপত্তা হুমকির ঝুঁকিতে থাকে, EAP-TLS-এর জন্য RADIUS সার্ভার এবং ক্লায়েন্ট ডিভাইস উভয়কেই ডিজিটাল সার্টিফিকেট উপস্থাপন করতে হয়। এই মিউচুয়াল অথেন্টিকেশন প্রক্রিয়াটি নিশ্চিত করে যে ডিভাইসটি অনুমোদিত এবং এটি যে নেটওয়ার্কের সাথে সংযুক্ত হচ্ছে তা বৈধ, যা রোগ AP আক্রমণ থেকে রক্ষা করে।

Apple কনফিগারেশন প্রোফাইল

Apple ডিভাইসগুলো এক্সটার্নাল ম্যানেজমেন্ট ছাড়া স্থানীয়ভাবে স্বয়ংক্রিয় সার্টিফিকেট এনরোলমেন্ট সমর্থন করে না। স্কেলে EAP-TLS ডেপ্লয় করতে, IT টিমকে অবশ্যই কনফিগারেশন প্রোফাইল (.mobileconfig ফাইল) ব্যবহার করতে হবে। এই XML ফাইলগুলোতে নির্দিষ্ট পে-লোড থাকে:

  1. WiFi পে-লোড: SSID, সিকিউরিটি টাইপ (WPA3-Enterprise) এবং সমর্থিত EAP টাইপগুলো নির্ধারণ করে।
  2. Certificate payload: RADIUS server-কে বিশ্বাস করার জন্য প্রয়োজনীয় রুট CA এবং যেকোনো ইন্টারমিডিয়েট CA প্রদান করে।
  3. SCEP/ACME payload: Certificate Authority (CA) থেকে একটি অনন্য ক্লায়েন্ট সার্টিফিকেট অনুরোধ করার জন্য ব্যবহৃত প্রোটোকল কনফিগার করে।

আপনার AP ইনফ্রাস্ট্রাকচার সুরক্ষিত করার বিষয়ে আরও বিস্তারিত জানতে, আমাদের গাইডটি দেখুন: Access Point Security: Your 2026 Enterprise Guide

Implementation Guide

Step 1: PKI and RADIUS Preparation

MDM কনফিগারেশন শুরু করার আগে, আপনার Public Key Infrastructure (PKI) এবং RADIUS server (যেমন Cisco ISE, Aruba ClearPass বা FreeRADIUS) সার্টিফিকেট ইস্যু ও যাচাই করার জন্য সেট আপ করতে হবে। আপনার RADIUS server সার্টিফিকেটটি কোনো বিশ্বস্ত অভ্যন্তরীণ বা পাবলিক CA দ্বারা স্বাক্ষরিত কিনা এবং Subject Alternative Name (SAN) সার্ভারের FQDN-এর সাথে মিলছে কিনা তা নিশ্চিত করুন।

Step 2: MDM Payload Configuration (Jamf / Intune)

স্কেলেবল এন্টারপ্রাইজ ডেপ্লয়মেন্টের জন্য, MDM-ভিত্তিক ডেপ্লয়মেন্ট বাধ্যতামূলক।

mdm_deployment_comparison.png

প্রোফাইল তৈরি করা:

  • Trust settings: এই ধাপটি অত্যন্ত গুরুত্বপূর্ণ। WiFi পেলোডে, আপনাকে অবশ্যই রুট CA সার্টিফিকেটকে (একই প্রোফাইলের মধ্যে একটি পৃথক পেলোড হিসেবে ডেপ্লয় করা হয়েছে) RADIUS server-এর জন্য ট্রাস্ট অ্যাঙ্কর হিসেবে স্পষ্টভাবে নির্বাচন করতে হবে। অতিরিক্তভাবে, "Trusted Server Certificate Names" ফিল্ডে RADIUS server-এর সঠিক Common Name (CN) বা SAN উল্লেখ করুন। এটি করতে ব্যর্থ হলে iOS/macOS ব্যবহারকারীকে ম্যানুয়ালি সার্টিফিকেট বিশ্বাস করার জন্য অনুরোধ করবে, যা জিরো-টাচ ডেপ্লয়মেন্ট মডেলকে ব্যাহত করবে।
  • Identity certificate: WiFi পেলোডটিকে SCEP বা ACME পেলোডের সাথে লিঙ্ক করুন যাতে EAP-TLS হ্যান্ডশেকের সময় ডিভাইসটি কোন সার্টিফিকেট পেশ করতে হবে তা জানতে পারে।

Step 3: Network Segregation

802.1X এর মাধ্যমে প্রমাণীকৃত কর্পোরেট ডিভাইসগুলিকে অবশ্যই ডেডিকেটেড VLAN-এ রাখতে হবে, যা পাবলিক অ্যাক্সেস নেটওয়ার্ক থেকে সম্পূর্ণ বিচ্ছিন্ন। Purple-এর WiFi Analytics ব্যবহারকারী ভেন্যুগুলির জন্য, গেস্ট SSID সমান্তরালভাবে কাজ করে, যা নিশ্চিত করে যে কর্পোরেট ট্রাফিক এবং গেস্ট অ্যানালিটিক্স ডেটা কখনও একে অপরকে অতিক্রম না করে।

মিশ্র ডিভাইস বহর বিশিষ্ট পরিবেশের জন্য, আপনি How to Set Up Enterprise WiFi on Android Devices with EAP-TLS দেখতে পারেন।

Best Practices

  • WPA3-Enterprise প্রয়োগ করুন: ১৯২-বিট ক্রিপ্টোগ্রাফিক শক্তির সুবিধা নিতে সমস্ত নতুন ডেপ্লয়মেন্টের জন্য WPA3 বাধ্যতামূলক করুন। ব্যবসায়িক ক্রিয়াকলাপের জন্য যেখানে একেবারে প্রয়োজন কেবল সেখানেই লিগ্যাসি ডিভাইসের সামঞ্জস্যতা নিশ্চিত করুন।
  • সার্টিফিকেট রিনিউয়াল স্বয়ংক্রিয় করুন: মেয়াদ শেষ হওয়ার কমপক্ষে ১৪ দিন আগে স্বয়ংক্রিয়ভাবে ক্লায়েন্ট সার্টিফিকেট রিনিউ করতে SCEP পেলোড কনফিগার করুন।
  • MAC র্যান্ডমাইজেশন নিষ্ক্রিয় করুন: MDM-এর মাধ্যমে পুশ করা কর্পোরেট SSID-গুলির জন্য, নেটওয়ার্ক ম্যানেজমেন্ট টুলগুলিতে ধারাবাহিক ট্র্যাকিং এবং নীতি প্রয়োগ নিশ্চিত করতে "Private Wi-Fi Address" (iOS) নিষ্ক্রিয় করুন।
  • DNS সুরক্ষার সুবিধা নিন: কোনো সংকুচিত কর্পোরেট ডিভাইস যাতে কমান্ড-অ্যান্ড-কন্ট্রোল সার্ভারের সাথে সংযুক্ত হতে না পারে, তা প্রতিরোধ করতে robust DNS ফিল্টারিংয়ের সাথে 802.1X যুক্ত করুন। বাস্তবায়নের বিস্তারিত জানতে, Protecting Your Network Through Robust DNS and Security দেখুন।

সমস্যা সমাধান এবং ঝুঁকি হ্রাসকরণ

"নীরব ব্যর্থতা" (Silent Failure)-র পরিস্থিতি

iOS/macOS 802.1X ডেপ্লয়মেন্টের সবচেয়ে সাধারণ সমস্যা হলো নীরব ব্যর্থতা, যেখানে ডিভাইসটি ব্যবহারকারীকে কোনো প্রম্পট না দেখিয়েই সংযোগ করতে অস্বীকার করে। এটি প্রায় সব সময়ই একটি ট্রাস্ট চেইন সংক্রান্ত সমস্যার দিকে নির্দেশ করে। যদি RADIUS সার্ভারের সার্টিফিকেট নবায়ন করা হয় এবং নতুন রুট/ইন্টারমিডিয়েট সার্টিফিকেট অথরিটি (CA) স্যুইচওভারের আগে ডিভাইসে পুশ করা না হয়ে থাকে, তবে Apple ডিভাইসগুলি ম্যান-ইন-দ্য-মিডল অ্যাটাক থেকে রক্ষা পেতে EAP হ্যান্ডশেক বাতিল করবে।

ঝুঁকি হ্রাসকরণ: RADIUS সার্টিফিকেটের জন্য একটি কঠোর পরিবর্তন পরিচালনা প্রক্রিয়া বাস্তবায়ন করুন। RADIUS সার্ভার আপডেট করার কমপক্ষে এক সপ্তাহ আগে সর্বদা MDM-এর মাধ্যমে নতুন CA চেইন ডেপ্লয় করুন।

SCEP এনরোলমেন্ট টাইমআউট

যদি ডিভাইসগুলি তাদের ক্লায়েন্ট সার্টিফিকেট পেতে ব্যর্থ হয়, তবে SCEP চ্যালেঞ্জ পাসওয়ার্ড যাচাই করুন এবং নিশ্চিত করুন যে MDM সার্ভার প্রয়োজনীয় পোর্টের মাধ্যমে NDES/CA সার্ভারের সাথে যোগাযোগ করতে পারছে।

ROI এবং ব্যবসায়িক প্রভাব

EAP-TLS এর সাথে 802.1X ডেপ্লয় করতে PKI এবং MDM আর্কিটেকচারে একটি অগ্রিম বিনিয়োগের প্রয়োজন হয়, তবে ঝুঁকি হ্রাস এবং কার্যক্ষমতার দক্ষতার মাধ্যমে ROI অর্জিত হয়। পাসওয়ার্ড রিসেট বাদ দিয়ে এবং ডিভাইস অনবোর্ডিং স্বয়ংক্রিয় করার মাধ্যমে, WiFi অ্যাক্সেস সম্পর্কিত IT হেল্প-ডেস্ক টিকিট সাধারণত ৬০-৮০% হ্রাস পায়। তদুপরি, কঠোর নেটওয়ার্ক সেগমেন্টেশন অর্জন করা প্রায়শই সাইবার-নিরাপত্তা বীমা পলিসি এবং PCI-DSS কমপ্লায়েন্সের জন্য একটি বাধ্যতামূলক প্রয়োজনীয়তা, যা সংস্থাকে নিরাপত্তা লঙ্ঘনের ফলে হওয়া মারাত্মক আর্থিক জরিমানা থেকে রক্ষা করে।

মূল সংজ্ঞাসমূহ

EAP-TLS

এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল-ট্রান্সপোর্ট লেয়ার সিকিউরিটি। একটি প্রমাণীকরণ ফ্রেমওয়ার্ক যার জন্য ক্লায়েন্ট এবং প্রমাণীকরণ সার্ভার উভয়ের উপরই ডিজিটাল সার্টিফিকেটের প্রয়োজন হয়।

সবচেয়ে সুরক্ষিত 802.1X পদ্ধতি হিসেবে বিবেচিত, যা পাসওয়ার্ডের প্রয়োজনীয়তা দূর করে এবং শংসাপত্র চুরি থেকে রক্ষা করে।

Supplicant

শেষ-ব্যবহারকারী ডিভাইস (যেমন, iPhone, MacBook) যা নেটওয়ার্কে অ্যাক্সেসের জন্য অনুরোধ করছে।

802.1X হ্যান্ডশেকের সময় সঠিক সার্টিফিকেট উপস্থাপন এবং সঠিক সার্ভারকে বিশ্বাস করতে MDM-এর মাধ্যমে supplicant কনফিগার করতে হবে।

Authenticator

নেটওয়ার্ক ডিভাইস, সাধারণত একটি WiFi অ্যাক্সেস পয়েন্ট বা সুইচ, যা supplicant প্রমাণীকৃত না হওয়া পর্যন্ত ট্রাফিক ব্লক করে।

AP একটি মধ্যস্থতাকারী হিসাবে কাজ করে, যা supplicant এবং RADIUS সার্ভারের মধ্যে EAP বার্তাগুলি প্রেরণ করে।

RADIUS Server

রিমোট অথেন্টিকেশন ডায়াল-ইন ইউজার সার্ভিস। সেই সার্ভার যা supplicant-এর শংসাপত্র (সার্টিফিকেট) যাচাই করে এবং অ্যাক্সেস অনুমোদন করে।

এন্টারপ্রাইজ নেটওয়ার্ক অ্যাক্সেসের জন্য মূল সিদ্ধান্ত ইঞ্জিন, যা প্রায়শই Active Directory এবং PKI-এর সাথে সংহত থাকে।

MDM Configuration Profile

সেটিংস প্রয়োগ, সার্টিফিকেট স্থাপন এবং নেটওয়ার্ক অ্যাক্সেস কনফিগার করতে Apple ডিভাইসগুলিতে পুশ করা একটি XML ফাইল (.mobileconfig)।

iOS এবং macOS-এ জিরো-টাচ 802.1X স্থাপনা অর্জনের জন্য প্রয়োজনীয় বিতরণ প্রক্রিয়া।

SCEP

সিম্পল সার্টিফিকেট এনরোলমেন্ট প্রোটোকল। ডিভাইসগুলিতে স্বয়ংক্রিয়ভাবে সার্টিফিকেট অনুরোধ এবং ইনস্টল করতে MDM সিস্টেম দ্বারা ব্যবহৃত একটি প্রোটোকল।

EAP-TLS-এর জন্য প্রয়োজনীয় ক্লায়েন্ট সার্টিফিকেটের জীবনচক্র স্বয়ংক্রিয় করার জন্য অত্যন্ত গুরুত্বপূর্ণ।

SAN (Subject Alternative Name)

একটি X.509 সার্টিফিকেটের এক্সটেনশন যা একাধিক মানকে (যেমন FQDN বা IP অ্যাড্রেস) সার্টিফিকেটের সাথে যুক্ত করার অনুমতি দেয়।

Apple ডিভাইসগুলো তাদের কনফিগারেশন প্রোফাইলে সংজ্ঞায়িত বিশ্বস্ত নামের সাথে RADIUS সার্ভার সার্টিফিকেটের SAN কঠোরভাবে পরীক্ষা করে।

WPA3-Enterprise

সর্বশেষ WiFi সিকিউরিটি সার্টিফিকেশন যার জন্য ১৯২-বিট ক্রিপ্টোগ্রাফিক শক্তি এবং বাধ্যতামূলক Protected Management Frames (PMF) প্রয়োজন।

নতুন এন্টারপ্রাইজ ডেপ্লয়মেন্টের জন্য প্রস্তাবিত সিকিউরিটি স্ট্যান্ডার্ড, যা ইভসড্রপিংয়ের বিরুদ্ধে উল্লেখযোগ্য সুরক্ষা প্রদান করে।

সমাধানকৃত উদাহরণসমূহ

একটি বৈশ্বিক খুচরা চেইন ৫০০ জন স্টোর ম্যানেজারের কাছে কর্পোরেট iPad স্থাপন করছে। তারা বর্তমানে একটি PSK সহ একটি লুকানো SSID ব্যবহার করছে, যা ফাঁস হয়ে গেছে। ম্যানেজারদের ম্যানুয়ালি শংসাপত্রগুলি প্রবেশ করার প্রয়োজন ছাড়াই Microsoft Intune ব্যবহার করে তাদের নেটওয়ার্ক সুরক্ষিত করতে হবে।

১. একটি এন্টারপ্রাইজ CA স্থাপন করুন এবং Intune-এর সাথে NDES/SCEP ইন্টিগ্রেশন কনফিগার করুন। ২. RADIUS সার্ভারের জন্য রুট CA ধারণকারী Intune-এ একটি বিশ্বস্ত সার্টিফিকেট প্রোফাইল তৈরি করুন। ৩. অনন্য ক্লায়েন্ট সার্টিফিকেট ইস্যু করতে iPad গুলিকে লক্ষ্য করে একটি SCEP সার্টিফিকেট প্রোফাইল তৈরি করুন। ৪. Intune-এ একটি Wi-Fi প্রোফাইল তৈরি করুন। সিকিউরিটি টাইপ WPA2/WPA3-Enterprise এবং EAP টাইপ EAP-TLS সেট করুন। ক্লায়েন্ট সার্টিফিকেট হিসেবে SCEP প্রোফাইল এবং সার্ভার যাচাইকরণের জন্য বিশ্বস্ত সার্টিফিকেট প্রোফাইল লিঙ্ক করুন। RADIUS সার্ভারের নামগুলি নির্দিষ্ট করুন। ৫. প্রোফাইলগুলিকে একটি পরীক্ষা গ্রুপে পুশ করুন, সংযোগ যাচাই করুন, তারপরে সমস্ত ৫০০টি ডিভাইসে রোল আউট করুন।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি PSK দুর্বলতা সম্পূর্ণরূপে দূর করে। সম্পূর্ণ সার্টিফিকেট চেইন এবং WiFi পেলোড পুশ করতে Intune ব্যবহার করে, iPad গুলি নীরবে প্রমাণীকরণ করে। RADIUS সার্ভারের নাম নির্দিষ্ট করার ফলে কোনো অননুমোদিত AP যাতে iPad গুলিকে প্রতারিত করে সংযুক্ত করতে না পারে তা প্রতিরোধ করে।

একটি বিশ্ববিদ্যালয় তার নেটওয়ার্ক পরিকাঠামো আপডেট করছে এবং এটি নিশ্চিত করা প্রয়োজন যে Jamf Pro দ্বারা পরিচালিত ফ্যাকাল্টি MacBook গুলি যাতে নির্বিঘ্নে একটি নতুন RADIUS সার্ভার ক্লাস্টারে স্থানান্তরিত হয়।

১. নতুন RADIUS সার্ভার ক্লাস্টারের রুট এবং ইন্টারমিডিয়েট সার্টিফিকেটগুলি এক্সপোর্ট করুন। ২. Jamf Pro-তে, পুরোনো সার্টিফিকেটগুলির পাশাপাশি নতুন CA সার্টিফিকেটগুলি অন্তর্ভুক্ত করতে বিদ্যমান কনফিগারেশন প্রোফাইল আপডেট করুন (অথবা একটি রূপান্তর প্রোফাইল তৈরি করুন)। ৩. নতুন RADIUS সার্ভারগুলির FQDN অন্তর্ভুক্ত করতে WiFi পেলোডে "Trusted Server Certificate Names" আপডেট করুন। ৪. আপডেট করা প্রোফাইলটি সমস্ত MacBook-এ পুশ করুন। ৫. পুরো ফ্লিট জুড়ে প্রোফাইলটি ইনস্টল হওয়ার বিষয়টি নিশ্চিত হয়ে গেলে, নেটওয়ার্ক পরিকাঠামোটিকে নতুন RADIUS সার্ভারে স্থানান্তরিত করুন।

পরীক্ষকের মন্তব্য: এটি একটি চমৎকার জিরো-ডাউনটাইম মাইগ্রেশনের উদাহরণ। অবকাঠামো পরিবর্তনের আগে MacBook-এ ট্রাস্ট অ্যাঙ্করগুলি স্থাপন করার মাধ্যমে, ডিভাইসগুলি EAP-TLS হ্যান্ডশেকের সময় নির্বিঘ্নে নতুন RADIUS সার্ভারগুলিকে বিশ্বাস করবে, যা ব্যাপক সংযোগ বিচ্ছিন্নতা এবং হেল্পডেস্কের কাজের চাপ প্রতিরোধ করবে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার প্রতিষ্ঠান সমস্ত কর্পোরেট MacBooks-এ WPA3-Enterprise রোল আউট করছে। টেস্টিংয়ের সময়, ব্যবহারকারীরা রিপোর্ট করেছেন যে Jamf-এর মাধ্যমে প্রোফাইল পুশ করা সত্ত্বেও তাদের ডিভাইসগুলো বারবার RADIUS সার্ভারের জন্য 'Verify Certificate' করার অনুরোধ জানাচ্ছে। সবচেয়ে সম্ভাব্য কনফিগারেশন ত্রুটি কোনটি?

ইঙ্গিত: অ্যাপল ডিভাইসটি যাতে নীরবে সার্ভারকে বিশ্বাস করতে পারে তার জন্য কোন নির্দিষ্ট তথ্যের প্রয়োজন তা বিবেচনা করুন।

মডেল উত্তর দেখুন

কনফিগারেশন প্রোফাইলে স্পষ্ট ট্রাস্ট ম্যাপিং অনুপস্থিত। ডিভাইসে Root CA ইনস্টল করা থাকতে পারলেও, WiFi পে-লোডে অবশ্যই 'Trusted Server Certificate Names' ফিল্ডে RADIUS সার্ভারের FQDN স্পষ্টভাবে তালিকাভুক্ত থাকতে হবে, এবং সেই নির্দিষ্ট WiFi নেটওয়ার্কের জন্য Root CA-কে বিশ্বস্ত অ্যাঙ্কর হিসেবে নির্বাচিত করতে হবে। এটি ছাড়া, macOS ব্যবহারকারীকে ম্যানুয়ালি সার্টিফিকেট যাচাই এবং বিশ্বাস করতে অনুরোধ করবে।

Q2. একটি হোটেল চেইন তাদের ব্যাক-অফ-হাউস অপারেশন (স্টাফদের iPads) 802.1X ব্যবহার করে সুরক্ষিত করতে চায়, পাশাপাশি একটি captive portal-এর মাধ্যমে সর্বজনীন অ্যাক্সেস অফার করতে চায়। উভয় প্রয়োজনীয়তা নিরাপদে পূরণ করার জন্য কীভাবে নেটওয়ার্ক আর্কিটেকচার ডিজাইন করা উচিত?

ইঙ্গিত: অ্যাক্সেস পয়েন্ট এবং সুইচ লেভেলে লজিক্যাল সেপারেশনের কথা ভাবুন।

মডেল উত্তর দেখুন

আর্কিটেকচারে একই অ্যাক্সেস পয়েন্ট থেকে ব্রডকাস্ট করা দুটি পৃথক SSID ব্যবহার করা উচিত। ব্যাক-অফ-হাউস SSID-টি WPA3-Enterprise (802.1X) এর জন্য কনফিগার করা হবে, যা EAP-TLS-এর মাধ্যমে স্টাফদের iPads অথেন্টিকেট করবে এবং তাদের একটি সুরক্ষিত, ইন্টারনাল VLAN-এ রাখবে। পাবলিক SSID-টি ওপেন থাকবে, যা ব্যবহারকারীদের Purple Guest WiFi captive portal-এ রিডাইরেক্ট করবে এবং অথেনটিকেটেড অতিথিদের একটি অত্যন্ত সীমাবদ্ধ, শুধুমাত্র-ইন্টারনেট VLAN-এ পাঠাবে। এটি কর্পোরেট এবং গেস্ট ট্রাফিকের সম্পূর্ণ পৃথকীকরণ নিশ্চিত করে।

Q3. আপনি আপনার RADIUS ইনফ্রাস্ট্রাকচার একটি অন-প্রেমিস Cisco ISE ডেপ্লয়মেন্ট থেকে একটি ক্লাউড-ভিত্তিক RADIUS প্রোভাইডারে স্থানান্তরিত করছেন। নতুন প্রোভাইডার একটি ভিন্ন পাবলিক Certificate Authority ব্যবহার করে। অ্যাক্সেস পয়েন্টগুলোতে RADIUS কনফিগারেশন পরিবর্তন করার আগে গুরুত্বপূর্ণ প্রথম ধাপটি কী?

ইঙ্গিত: ক্লায়েন্ট ডিভাইসগুলোর জন্য সংযোগের সম্পূর্ণ ক্ষতি রোধ করতে অপারেশনের ক্রম বিবেচনা করুন।

মডেল উত্তর দেখুন

গুরুত্বপূর্ণ প্রথম ধাপ হলো সমস্ত Apple ডিভাইসে একটি আপডেটেড MDM কনফিগারেশন প্রোফাইল পুশ করা যাতে ক্লাউড RADIUS প্রোভাইডার দ্বারা ব্যবহৃত নতুন পাবলিক CA-এর Root এবং Intermediate সার্টিফিকেট অন্তর্ভুক্ত থাকে। AP-গুলোকে নতুন RADIUS সার্ভারে স্থানান্তর করার আগে সাপ্লিক্যান্টগুলোতে এই ট্রাস্ট চেইন স্থাপন করতে হবে; অন্যথায়, ডিভাইসগুলো নতুন সার্ভার সার্টিফিকেট প্রত্যাখ্যান করবে এবং সংযোগ করতে ব্যর্থ হবে।

এই সিরিজে পড়া চালিয়ে যান

Guest এবং Staff WiFi নেটওয়ার্কের জন্য RADIUS Authentication কনফিগার করা

এই টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ guest এবং staff WiFi নেটওয়ার্কের জন্য RADIUS authentication-এর আর্কিটেকচার, কনফিগারেশন এবং ডিপ্লয়মেন্টের রূপরেখা প্রদান করে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অ্যাক্সেস কন্ট্রোল সিস্টেম তৈরি করার জন্য প্রয়োজনীয় সঠিক প্রোটোকল, সিকিউরিটি স্ট্যান্ডার্ড এবং ট্রাবলশুটিং মেথডোলজি প্রদান করে।

গাইডটি পড়ুন →

Passpoint এবং OpenRoaming: সম্পূর্ণ নির্দেশিকা

এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি এন্টারপ্রাইজ WiFi নেটওয়ার্কের মধ্যে Passpoint (Hotspot 2.0) এবং WBA OpenRoaming ফ্রেমওয়ার্কের একটি বিস্তৃত বিশ্লেষণ প্রদান করে। এটি একটি নিরাপদ, ঝামেলামুক্ত অতিথি সংযোগ স্থাপন করার জন্য প্রয়োজনীয় অন্তর্নিহিত প্রমাণীকরণ প্রোটোকল, আর্কিটেকচারাল উপাদান এবং স্থাপনার কৌশলগুলি বিস্তারিতভাবে বর্ণনা করে। নেটওয়ার্ক স্থপতি এবং IT লিডাররা এন্টারপ্রাইজ-গ্রেড নিরাপত্তা বজায় রেখে ম্যানুয়াল লগইন বাধাগুলি দূর করতে কীভাবে এই মানগুলি ডিজাইন, বাস্তবায়ন এবং সমস্যা সমাধান করবেন তা শিখবেন।

গাইডটি পড়ুন →

উচ্চশিক্ষায় সুরক্ষিত BYOD এবং নেটওয়ার্ক এনরোলমেন্টের জন্য কীভাবে SCEP বাস্তবায়ন করবেন

এই প্রযুক্তিগত নির্দেশিকাটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের উচ্চশিক্ষার ক্যাম্পাস নেটওয়ার্ক সুরক্ষিত করতে SCEP ভিত্তিক সার্টিফিকেট এনরোলমেন্ট স্থাপনের জন্য একটি ভেন্ডর - নিরপেক্ষ ব্লুপ্রিন্ট প্রদান করে। এটি কীভাবে পাসওয়ার্ড ভিত্তিক PEAP থেকে 802.1X EAP-TLS-এ স্থানান্তরিত হতে হবে, BYOD অনবোর্ডিং স্বয়ংক্রিয় করতে হবে এবং শক্তিশালী VLAN সেগমেন্টেশন কার্যকর করতে হবে তা বিস্তারিতভাবে বর্ণনা করে।

গাইডটি পড়ুন →