মূল কন্টেন্টে যান

802.1X সহ iOS এবং macOS-এ কীভাবে Enterprise WiFi সেট আপ করবেন

এই নির্ভরযোগ্য গাইডটি সিনিয়র IT লিডারদের iOS এবং macOS ডিভাইসে 802.1X enterprise WiFi স্থাপনের জন্য কার্যকরী পদক্ষেপ প্রদান করে। এটি BYOD উদ্যোগকে সমর্থন করার পাশাপাশি কর্পোরেট নেটওয়ার্কগুলিকে সুরক্ষিত করতে সার্টিফিকেট-ভিত্তিক প্রমাণীকরণ (EAP-TLS), MDM কনফিগারেশন প্রোফাইল এবং আর্কিটেকচার ইন্টিগ্রেশন কভার করে।

📖 4 মিনিট পাঠ📝 920 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

header_image.png

এক্সিকিউটিভ সামারি

hospitality , retail এবং transport হাবের মতো বড় বড় ভেন্যু পরিচালনাকারী CTO এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য এন্টারপ্রাইজ ওয়্যারলেস এজ সুরক্ষিত করা অত্যন্ত গুরুত্বপূর্ণ। কর্মী এবং কর্পোরেট ডিভাইসের অ্যাক্সেসের জন্য Pre-Shared Keys (PSK) বা ঐতিহ্যবাহী Captive Portals-এর উপর নির্ভর করা নেটওয়ার্ককে ক্রেডেনশিয়াল চুরি এবং কমপ্লায়েন্স ব্যর্থতার ঝুঁকিতে ফেলে দেয়।

এই টেকনিক্যাল রেফারেন্সে Apple ডিভাইসের (iOS এবং macOS) জন্য EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) ব্যবহার করে 802.1X ইমপ্লিমেন্টেশনের বিস্তারিত বিবরণ দেওয়া হয়েছে। সার্টিফিকেট-ভিত্তিক অথেনটিকেশন বাধ্যতামূলক করার মাধ্যমে, এন্টারপ্রাইজগুলো পাসওয়ার্ড সংক্রান্ত নিরাপত্তা ঝুঁকি দূর করতে পারে, Jamf এবং Intune-এর মতো Mobile Device Management (MDM) প্ল্যাটফর্মের মাধ্যমে ডিভাইস অনবোর্ডিং সহজ করতে পারে এবং শক্তিশালী নেটওয়ার্ক সেগ্রিগেশন নিশ্চিত করতে পারে। যেখানে Guest WiFi সলিউশনগুলো পাবলিক অ্যাক্সেস এবং ডেটা ক্যাপচার পরিচালনা করে, সেখানে একটি সুপরিকল্পিত 802.1X ডিপ্লয়মেন্ট অভ্যন্তরীণ রিসোর্সগুলোকে সুরক্ষিত করে এবং PCI-DSS ও GDPR-এর প্রয়োজনীয়তাগুলোর সাথে কমপ্লায়েন্স নিশ্চিত করে।

আর্কিটেকচার এবং সাধারণ ভুলত্রুটিগুলোর একটি দ্রুত ওভারভিউ পেতে নিচের ১০ মিনিটের টেকনিক্যাল ব্রিফিং পডকাস্টটি শুনুন।

how_to_set_up_enterprise_wifi_on_ios_and_macos_with_802_1x_podcast.wav

টেকনিক্যাল ডিপ-ডাইভ

802.1X আর্কিটেকচার

IEEE 802.1X স্ট্যান্ডার্ডটি Port-Based Network Access Control (PNAC) সংজ্ঞায়িত করে। ওয়্যারলেস প্রেক্ষাপটে, একটি RADIUS সার্ভার (অথেনটিকেশন সার্ভার) যতক্ষণ না ক্লায়েন্টের (সাপ্লিক্যান্ট) পরিচয় যাচাই করছে, ততক্ষণ এটি ওয়্যারলেস অ্যাক্সেস পয়েন্টের (অথেনটিকেটর) মাধ্যমে ক্লায়েন্টকে ট্রাফিক পাস করা থেকে ব্লক করে রাখে।

architecture_overview.png

Apple ইকোসিস্টেমের মধ্যে ডিপ্লয়মেন্টের জন্য EAP-TLS হলো একটি ইন্ডাস্ট্রি স্ট্যান্ডার্ড। PEAP বা TTLS-এর মতো নয়, যা ব্যবহারকারীর ক্রেডেনশিয়ালের উপর নির্ভর করে যা নিরাপত্তা হুমকির প্রতি সংবেদনশীল, EAP-TLS-এর ক্ষেত্রে RADIUS সার্ভার এবং ক্লায়েন্ট ডিভাইস উভয়কেই ডিজিটাল সার্টিফিকেট প্রদর্শন করতে হয়। এই পারস্পরিক অথেনটিকেশন প্রক্রিয়াটি নিশ্চিত করে যে ডিভাইসটি অনুমোদিত এবং এটি যে নেটওয়ার্কের সাথে সংযুক্ত হচ্ছে তা বৈধ, যা রোগ AP আক্রমণ থেকে রক্ষা করে।

Apple কনফিগারেশন প্রোফাইল

Apple ডিভাইসগুলো এক্সটার্নাল ম্যানেজমেন্ট ছাড়া নেটিভভাবে স্বয়ংক্রিয় সার্টিফিকেট এনরোলমেন্ট সমর্থন করে না। স্কেলে EAP-TLS ডিপ্লয় করতে, IT টিমকে অবশ্যই কনফিগারেশন প্রোফাইল (.mobileconfig ফাইল) ব্যবহার করতে হবে। এই XML ফাইলগুলোতে নির্দিষ্ট পে-লোড থাকে:

  1. WiFi পে-লোড: SSID, সিকিউরিটি টাইপ (WPA3-Enterprise) এবং সমর্থিত EAP টাইপ সংজ্ঞায়িত করে।
  2. Certificate payload: RADIUS server-কে বিশ্বাস করার জন্য প্রয়োজনীয় root CA এবং যেকোনো intermediate CA সরবরাহ করে।
  3. SCEP/ACME payload: Certificate Authority (CA) থেকে একটি অনন্য ক্লায়েন্ট সার্টিফিকেট অনুরোধ করার জন্য ব্যবহৃত প্রোটোকল কনফিগার করে।

আপনার AP ইনফ্রাস্ট্রাকচার সুরক্ষিত করার বিষয়ে আরও বিস্তারিত জানতে, আমাদের গাইডটি দেখুন: Access Point Security: Your 2026 Enterprise Guide

Implementation Guide

Step 1: PKI and RADIUS Preparation

MDM কনফিগারেশন শুরু করার আগে, আপনার Public Key Infrastructure (PKI) এবং RADIUS server (যেমন Cisco ISE, Aruba ClearPass বা FreeRADIUS) সার্টিফিকেট ইস্যু এবং যাচাই করার জন্য সেট আপ করা থাকতে হবে। নিশ্চিত করুন যে আপনার RADIUS server সার্টিফিকেটটি একটি বিশ্বস্ত ইন্টারনাল বা পাবলিক CA দ্বারা সাইন করা হয়েছে, এবং Subject Alternative Name (SAN) যেন সার্ভারের FQDN-এর সাথে মেলে।

Step 2: MDM Payload Configuration (Jamf / Intune)

স্কেলেবল এন্টারপ্রাইজ স্থাপনার জন্য, MDM ভিত্তিক স্থাপনা বাধ্যতামূলক।

mdm_deployment_comparison.png

প্রোফাইল তৈরি করা:

  • Trust settings: এই ধাপটি অত্যন্ত গুরুত্বপূর্ণ। WiFi পেলোডে, আপনাকে অবশ্যই RADIUS server-এর জন্য ট্রাস্ট অ্যাঙ্কর হিসেবে root CA সার্টিফিকেটটি (একই প্রোফাইলের মধ্যে একটি পৃথক পেলোড হিসেবে নিয়োজিত) স্পষ্টভাবে নির্বাচন করতে হবে। অতিরিক্তভাবে, "Trusted Server Certificate Names" ফিল্ডে RADIUS server-এর সঠিক Common Name (CN) বা SAN উল্লেখ করুন। এটি করতে ব্যর্থ হলে iOS/macOS ব্যবহারকারীকে ম্যানুয়ালি সার্টিফিকেটটি বিশ্বাস করার জন্য অনুরোধ জানাবে, যা জিরো-টাচ ডিপ্লয়মেন্ট মডেলটিকে ব্যাহত করবে।
  • Identity certificate: WiFi পেলোডটিকে SCEP বা ACME পেলোডের সাথে লিঙ্ক করুন যাতে ডিভাইসটি জানতে পারে যে EAP-TLS হ্যান্ডশেকের সময় কোন সার্টিফিকেটটি উপস্থাপন করতে হবে।

Step 3: Network Segregation

802.1X-এর মাধ্যমে প্রমাণিত কর্পোরেট ডিভাইসগুলোকে ডেডিকেটেড VLAN-এ রাখতে হবে, যা পাবলিক অ্যাক্সেস নেটওয়ার্ক থেকে সম্পূর্ণ বিচ্ছিন্ন। Purple-এর WiFi Analytics ব্যবহার করা ভেন্যুগুলোর জন্য, গেস্ট SSID সমান্তরালভাবে কাজ করে, যা নিশ্চিত করে যে কর্পোরেট ট্রাফিক এবং গেস্ট অ্যানালিটিক্স ডেটা কখনই একে অপরকে অতিক্রম না করে।

মিক্সড ডিভাইস ফ্লিট বিশিষ্ট পরিবেশের জন্য, আপনি How to Set Up Enterprise WiFi on Android Devices with EAP-TLS গাইডটিও দেখতে পারেন।

Best Practices

  • Enforce WPA3-Enterprise: ১৯২-বিট ক্রিপ্টোগ্রাফিক শক্তির সুবিধা নিতে সমস্ত নতুন স্থাপনার জন্য WPA3 বাধ্যতামূলক করুন। ব্যবসায়িক কার্যক্রমের জন্য যেখানে একেবারেই প্রয়োজন কেবল সেখানেই লিগ্যাসি ডিভাইসের সামঞ্জস্যতা নিশ্চিত করুন।
  • Automate certificate renewal: মেয়াদ শেষ হওয়ার অন্তত ১৪ দিন আগে ক্লায়েন্ট সার্টিফিকেট স্বয়ংক্রিয়ভাবে পুনর্নবীকরণ করতে SCEP পেলোড কনফিগার করুন।
  • Disable MAC randomisation: MDM-এর মাধ্যমে পুশ করা কর্পোরেট SSID-এর জন্য, নেটওয়ার্ক ম্যানেজমেন্ট টুলগুলোতে ধারাবাহিক ট্র্যাকিং এবং নীতি প্রয়োগ নিশ্চিত করতে "Private Wi-Fi Address" (iOS) নিষ্ক্রিয় করুন।* DNS সুরক্ষার সুবিধা নিন: কর্পোরেট ডিভাইসের সাথে কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সংযোগ প্রতিরোধ করতে শক্তিশালী DNS ফিল্টারিংয়ের সাথে 802.1X যুক্ত করুন। বাস্তবায়নের বিস্তারিত জানতে, Protecting Your Network Through Robust DNS and Security দেখুন।

ট্রাবলশুটিং এবং ঝুঁকি হ্রাস

"সাইলেন্ট ফেইলর" দৃশ্যপট

iOS/macOS 802.1X ডিপ্লয়মেন্টে সবচেয়ে সাধারণ সমস্যা হলো সাইলেন্ট ফেইলর, যেখানে ডিভাইসটি ব্যবহারকারীকে কোনো প্রম্পট না জানিয়েই সংযোগ করতে অস্বীকার করে। এটি প্রায় সবসময়ই ট্রাস্ট চেইনের সমস্যার কারণে ঘটে। যদি RADIUS সার্ভারের সার্টিফিকেট রিনিউ করা হয়ে থাকে এবং পরিবর্তনের আগে নতুন রুট/ইন্টারমিডিয়েট সার্টিফিকেট অথরিটি (CA) ডিভাইসে পুশ করা না হয়, তাহলে Apple ডিভাইসগুলো ম্যান-ইন-দ্য-মিডল আক্রমণ থেকে রক্ষা করতে EAP হ্যান্ডশেক বাতিল করবে।

ঝুঁকি হ্রাস: RADIUS সার্টিফিকেটের জন্য একটি কঠোর পরিবর্তন ব্যবস্থাপনা প্রক্রিয়া বাস্তবায়ন করুন। RADIUS সার্ভার আপডেট করার অন্তত এক সপ্তাহ আগে MDM-এর মাধ্যমে সর্বদা নতুন CA চেইন ডিপ্লয় করুন।

SCEP এনরোলমেন্ট টাইমআউট

ডিভাইসগুলো যদি তাদের ক্লায়েন্ট সার্টিফিকেট পেতে ব্যর্থ হয়, তবে SCEP চ্যালেঞ্জ পাসওয়ার্ড যাচাই করুন এবং নিশ্চিত করুন যে MDM সার্ভার প্রয়োজনীয় পোর্টের মাধ্যমে NDES/CA সার্ভারের সাথে যোগাযোগ করতে পারছে।

ROI এবং ব্যবসায়িক প্রভাব

EAP-TLS সহ 802.1X ডিপ্লয় করার জন্য PKI এবং MDM আর্কিটেকচারে প্রাথমিক বিনিয়োগের প্রয়োজন হয়, তবে ঝুঁকি হ্রাস এবং কর্মক্ষম দক্ষতার মাধ্যমে ROI অর্জিত হয়। পাসওয়ার্ড রিসেট করার ঝামেলা দূর করে এবং ডিভাইস অনবোর্ডিং স্বয়ংক্রিয় করে, WiFi অ্যাক্সেস সংক্রান্ত IT হেল্প-ডেস্ক টিকিট সাধারণত ৬০-৮০% কমে যায়। তাছাড়া, সাইবার-সিকিউরিটি ইন্স্যুরেন্স পলিসি এবং PCI-DSS কমপ্লায়েন্সের জন্য কঠোর নেটওয়ার্ক সেগমেন্টেশন অর্জন করা প্রায়শই একটি বাধ্যতামূলক প্রয়োজনীয়তা, যা সুরক্ষার লঙ্ঘনের ফলে হওয়া মারাত্মক আর্থিক জরিমানা থেকে সংস্থাকে রক্ষা করে।

মূল সংজ্ঞাসমূহ

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. একটি প্রমাণীকরণ ফ্রেমওয়ার্ক যার জন্য ক্লায়েন্ট এবং প্রমাণীকরণ সার্ভার উভয় ক্ষেত্রেই ডিজিটাল সার্টিফিকেটের প্রয়োজন হয়।

সবচেয়ে নিরাপদ 802.1X পদ্ধতি হিসাবে বিবেচিত, যা পাসওয়ার্ডের প্রয়োজনীয়তা দূর করে এবং শংসাপত্র চুরি থেকে রক্ষা করে।

Supplicant

নেটওয়ার্কে অ্যাক্সেসের জন্য অনুরোধকারী এন্ড-ইউজার ডিভাইস (যেমন, iPhone, MacBook)।

802.1X হ্যান্ডশেকের সময় সঠিক সার্টিফিকেট উপস্থাপন এবং সঠিক সার্ভারকে বিশ্বাস করার জন্য supplicant-টিকে MDM এর মাধ্যমে কনফিগার করতে হবে।

Authenticator

নেটওয়ার্ক ডিভাইস, সাধারণত একটি WiFi অ্যাক্সেস পয়েন্ট বা সুইচ, যা supplicant প্রমাণীকৃত না হওয়া পর্যন্ত ট্রাফিক ব্লক করে।

AP মধ্যস্থতাকারী হিসাবে কাজ করে, যা supplicant এবং RADIUS সার্ভারের মধ্যে EAP বার্তাগুলি আদান-প্রদান করে।

RADIUS Server

Remote Authentication Dial-In User Service. সার্ভার যা supplicant-এর শংসাপত্র (সার্টিফিকেট) যাচাই করে এবং অ্যাক্সেস অনুমোদন করে।

এন্টারপ্রাইজ নেটওয়ার্ক অ্যাক্সেসের প্রধান সিদ্ধান্তকারী ইঞ্জিন, যা প্রায়শই Active Directory এবং PKI এর সাথে একীভূত থাকে।

MDM Configuration Profile

সেটিংস প্রয়োগ, সার্টিফিকেট স্থাপন এবং নেটওয়ার্ক অ্যাক্সেস কনফিগার করতে Apple ডিভাইসে পুশ করা একটি XML ফাইল (.mobileconfig)।

iOS এবং macOS-এ জিরো-টাচ 802.1X স্থাপনা অর্জনের জন্য অপরিহার্য ডেলিভারি প্রক্রিয়া।

SCEP

Simple Certificate Enrolment Protocol. ডিভাইসে স্বয়ংক্রিয়ভাবে সার্টিফিকেট অনুরোধ এবং ইনস্টল করতে MDM সিস্টেম দ্বারা ব্যবহৃত একটি প্রোটোকল।

EAP-TLS এর জন্য প্রয়োজনীয় ক্লায়েন্ট সার্টিফিকেটের লাইফসাইকেল স্বয়ংক্রিয় করার জন্য অত্যন্ত গুরুত্বপূর্ণ।

SAN (Subject Alternative Name)

একটি X.509 সার্টিফিকেটের এক্সটেনশন যা একাধিক মানকে (যেমন FQDN বা IP অ্যাড্রেস) সার্টিফিকেটের সাথে যুক্ত করার অনুমতি দেয়।

Apple ডিভাইসগুলো তাদের কনফিগারেশন প্রোফাইলে সংজ্ঞায়িত বিশ্বস্ত নামগুলোর বিপরীতে RADIUS সার্ভার সার্টিফিকেটের SAN কঠোরভাবে পরীক্ষা করে।

WPA3-Enterprise

সর্বশেষ Wi-Fi সিকিউরিটি সার্টিফিকেশন যার জন্য 192-বিট ক্রিপ্টোগ্রাফিক শক্তি এবং বাধ্যতামূলক Protected Management Frames (PMF) প্রয়োজন।

নতুন এন্টারপ্রাইজ ডেপ্লয়মেন্টের জন্য প্রস্তাবিত সিকিউরিটি স্ট্যান্ডার্ড, যা ইভসড্রপিংয়ের বিরুদ্ধে উল্লেখযোগ্য সুরক্ষা প্রদান করে।

সমাধানকৃত উদাহরণসমূহ

একটি বিশ্বব্যাপী রিটেইল চেইন ৫০০ জন স্টোর ম্যানেজারের জন্য কর্পোরেট iPad স্থাপন করছে। তারা বর্তমানে একটি PSK সহ একটি লুকানো SSID ব্যবহার করে, যা লিকেজ হয়ে গেছে। ম্যানেজারদের ম্যানুয়ালি শংসাপত্রগুলি প্রবেশ করার প্রয়োজন ছাড়াই Microsoft Intune ব্যবহার করে তাদের নেটওয়ার্কটি সুরক্ষিত করতে হবে।

১. একটি Enterprise CA স্থাপন করুন এবং Intune এর সাথে NDES/SCEP ইন্টিগ্রেশন কনফিগার করুন। ২. RADIUS সার্ভারের জন্য Root CA ধারণকারী Intune-এ একটি Trusted Certificate প্রোফাইল তৈরি করুন। ৩. অনন্য ক্লায়েন্ট সার্টিফিকেট ইস্যু করতে iPad গুলিকে লক্ষ্য করে একটি SCEP Certificate প্রোফাইল তৈরি করুন। ৪. Intune-এ একটি Wi-Fi প্রোফাইল তৈরি করুন। সিকিউরিটি টাইপ WPA2/WPA3-Enterprise এবং EAP টাইপ EAP-TLS সেট করুন। ক্লায়েন্ট সার্টিফিকেট হিসেবে SCEP প্রোফাইল এবং সার্ভার যাচাইকরণের জন্য Trusted Certificate প্রোফাইল লিঙ্ক করুন। RADIUS সার্ভারের নামগুলি নির্দিষ্ট করুন। ৫. প্রোফাইলগুলিকে একটি টেস্ট গ্রুপে পুশ করুন, কানেক্টিভিটি যাচাই করুন, তারপর সমস্ত ৫০০টি ডিভাইসে রোল আউট করুন।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি PSK দুর্বলতা সম্পূর্ণরূপে দূর করে। সম্পূর্ণ সার্টিফিকেট চেইন এবং WiFi পে-লোড পুশ করতে Intune ব্যবহার করার মাধ্যমে, iPad গুলি নীরবে প্রমাণীকরণ করে। RADIUS সার্ভারের নামগুলি নির্দিষ্ট করা হলে তা কোনো অননুমোদিত AP যাতে প্রতারণা করে iPad গুলিকে কানেক্ট করতে না পারে তা প্রতিরোধ করে।

একটি বিশ্ববিদ্যালয় তার নেটওয়ার্ক অবকাঠামো আপডেট করছে এবং Jamf Pro দ্বারা পরিচালিত ফ্যাকাল্টি MacBook গুলি যাতে নির্বিঘ্নে একটি নতুন RADIUS সার্ভার ক্লাস্টারে স্থানান্তরিত হতে পারে তা নিশ্চিত করতে হবে।

১. নতুন RADIUS সার্ভার ক্লাস্টারের Root এবং Intermediate সার্টিফিকেটগুলি এক্সপোর্ট করুন। ২. Jamf Pro-তে, পুরানো সার্টিফিকেটগুলির পাশাপাশি নতুন CA সার্টিফিকেটগুলি অন্তর্ভুক্ত করতে বিদ্যমান কনফিগারেশন প্রোফাইল আপডেট করুন (অথবা একটি ট্রানজিশন প্রোফাইল তৈরি করুন)। ৩. নতুন RADIUS সার্ভারগুলির FQDN অন্তর্ভুক্ত করতে WiFi পে-লোডে "Trusted Server Certificate Names" আপডেট করুন। ৪. সমস্ত MacBook-এ আপডেট করা প্রোফাইলটি পুশ করুন। ৫. প্রোফাইলটি পুরো ডিভাইসের ফ্লীটে সফলভাবে ইনস্টল করা নিশ্চিত হয়ে গেলে, নেটওয়ার্ক অবকাঠামোটি নতুন RADIUS সার্ভারগুলিতে স্থানান্তর করুন।

পরীক্ষকের মন্তব্য: এটি সম্পূর্ণ ডাউনটাইম-হীন মাইগ্রেশনের একটি চমৎকার উদাহরণ। অবকাঠামো পরিবর্তনের আগে MacBook-এ ট্রাস্ট অ্যাঙ্করগুলি প্রস্তুত করে রাখলে, ডিভাইসগুলি EAP-TLS হ্যান্ডশেকের সময় নির্বিঘ্নে নতুন RADIUS সার্ভারগুলিকে বিশ্বাস করবে, যা ব্যাপক কানেক্টিভিটি সমস্যা এবং হেল্পডেস্ক কল প্রতিরোধ করবে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার প্রতিষ্ঠান সমস্ত কর্পোরেট MacBook-এ WPA3-Enterprise রোল আউট করছে। টেস্টিংয়ের সময়, ব্যবহারকারীরা রিপোর্ট করেন যে তাদের ডিভাইসগুলো Jamf-এর মাধ্যমে প্রোফাইল পুশ করা সত্ত্বেও বারবার RADIUS সার্ভারের জন্য 'Verify Certificate' করতে বলছে। সবচেয়ে সম্ভাব্য কনফিগারেশন ত্রুটি কোনটি?

ইঙ্গিত: Apple ডিভাইসটির নীরবে সার্ভারকে বিশ্বাস করার জন্য ঠিক কোন সুনির্দিষ্ট তথ্যের প্রয়োজন তা বিবেচনা করুন।

মডেল উত্তর দেখুন

কনফিগারেশন প্রোফাইলে স্পষ্ট ট্রাস্ট ম্যাপিং অনুপস্থিত। ডিভাইসে Root CA ইনস্টল করা থাকলেও, WiFi পেলোডে অবশ্যই 'Trusted Server Certificate Names' ফিল্ডে RADIUS সার্ভারের FQDN স্পষ্টভাবে তালিকাভুক্ত থাকতে হবে, এবং Root CA-টিকে সেই নির্দিষ্ট WiFi নেটওয়ার্কের জন্য বিশ্বস্ত অ্যাঙ্কর হিসেবে নির্বাচন করতে হবে। এটি ছাড়া, macOS ব্যবহারকারীকে ম্যানুয়ালি সার্টিফিকেটটি যাচাই এবং বিশ্বাস করতে বলবে।

Q2. একটি হোটেল চেইন একটি captive portal-এর মাধ্যমে সর্বজনীন অ্যাক্সেস দেওয়া অব্যাহত রাখার পাশাপাশি 802.1X ব্যবহার করে তাদের ব্যাক-অফ-হাউস অপারেশন (স্টাফদের iPad) সুরক্ষিত করতে চায়। নিরাপদে উভয় প্রয়োজনীয়তা সমর্থন করার জন্য কীভাবে নেটওয়ার্ক আর্কিটেকচার ডিজাইন করা উচিত?

ইঙ্গিত: অ্যাক্সেস পয়েন্ট এবং সুইচ লেভেলে লজিক্যাল সেপারেশন বা যৌক্তিক পৃথকীকরণের কথা চিন্তা করুন।

মডেল উত্তর দেখুন

আর্কিটেকচারটিতে একই অ্যাক্সেস পয়েন্ট থেকে ব্রডকাস্ট হওয়া দুটি পৃথক SSID ব্যবহার করা উচিত। ব্যাক-অফ-হাউস SSID-টি WPA3-Enterprise (802.1X) এর জন্য কনফিগার করা হবে, যা EAP-TLS-এর মাধ্যমে স্টাফদের iPad অথেন্টিকেট করবে এবং সেগুলোকে একটি নিরাপদ, অভ্যন্তরীণ VLAN-এ রাখবে। পাবলিক SSID-টি ওপেন থাকবে, যা ব্যবহারকারীদের Purple Guest WiFi captive portal-এ রিডাইরেক্ট করবে এবং অথেন্টিকেট হওয়া অতিথিদের একটি অত্যন্ত সীমাবদ্ধ, শুধুমাত্র ইন্টারনেট-চালিত VLAN-এ যুক্ত করবে। এটি কর্পোরেট এবং গেস্ট ট্রাফিকের সম্পূর্ণ পৃথকীকরণ নিশ্চিত করে।

Q3. আপনার RADIUS ইনফ্রাস্ট্রাকচার একটি অন-প্রেমিস Cisco ISE ডেপ্লয়মেন্ট থেকে একটি ক্লাউড-ভিত্তিক RADIUS প্রোভাইডারে স্থানান্তরিত করছেন। নতুন প্রোভাইডারটি একটি ভিন্ন পাবলিক Certificate Authority ব্যবহার করে। অ্যাক্সেস পয়েন্টগুলোতে RADIUS কনফিগারেশন পরিবর্তন করার আগে গুরুত্বপূর্ণ প্রথম ধাপটি কী?

ইঙ্গিত: ক্লায়েন্ট ডিভাইসগুলোর জন্য সংযোগের সম্পূর্ণ ক্ষতি রোধ করতে অপারেশনের ক্রম বিবেচনা করুন।

মডেল উত্তর দেখুন

গুরুত্বপূর্ণ প্রথম ধাপটি হলো সমস্ত Apple ডিভাইসে একটি আপডেটেড MDM কনফিগারেশন প্রোফাইল পুশ করা যাতে ক্লাউড RADIUS প্রোভাইডার দ্বারা ব্যবহৃত নতুন পাবলিক CA-এর Root এবং Intermediate সার্টিফিকেট অন্তর্ভুক্ত থাকে। AP-গুলো নতুন RADIUS সার্ভারে স্থানান্তর করার আগেই সাপ্লিক্যান্টগুলোতে এই ট্রাস্ট চেইন স্থাপন করতে হবে; অন্যথায়, ডিভাইসগুলো নতুন সার্ভার সার্টিফিকেট প্রত্যাখ্যান করবে এবং সংযোগ করতে ব্যর্থ হবে।

এই সিরিজে পড়া চালিয়ে যান

Guest এবং Staff WiFi নেটওয়ার্কের জন্য RADIUS Authentication কনফিগার করা

এই টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ guest এবং staff WiFi নেটওয়ার্কের জন্য RADIUS authentication-এর আর্কিটেকচার, কনফিগারেশন এবং ডিপ্লয়মেন্টের রূপরেখা প্রদান করে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অ্যাক্সেস কন্ট্রোল সিস্টেম তৈরি করার জন্য প্রয়োজনীয় সঠিক প্রোটোকল, সিকিউরিটি স্ট্যান্ডার্ড এবং ট্রাবলশুটিং মেথডোলজি প্রদান করে।

গাইডটি পড়ুন →

Passpoint এবং OpenRoaming: সম্পূর্ণ নির্দেশিকা

এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি এন্টারপ্রাইজ WiFi নেটওয়ার্কের মধ্যে Passpoint (Hotspot 2.0) এবং WBA OpenRoaming ফ্রেমওয়ার্কের একটি বিস্তৃত বিশ্লেষণ প্রদান করে। এটি একটি নিরাপদ, ঝামেলামুক্ত অতিথি সংযোগ স্থাপন করার জন্য প্রয়োজনীয় অন্তর্নিহিত প্রমাণীকরণ প্রোটোকল, আর্কিটেকচারাল উপাদান এবং স্থাপনার কৌশলগুলি বিস্তারিতভাবে বর্ণনা করে। নেটওয়ার্ক স্থপতি এবং IT লিডাররা এন্টারপ্রাইজ-গ্রেড নিরাপত্তা বজায় রেখে ম্যানুয়াল লগইন বাধাগুলি দূর করতে কীভাবে এই মানগুলি ডিজাইন, বাস্তবায়ন এবং সমস্যা সমাধান করবেন তা শিখবেন।

গাইডটি পড়ুন →

উচ্চশিক্ষায় সুরক্ষিত BYOD এবং নেটওয়ার্ক এনরোলমেন্টের জন্য কীভাবে SCEP বাস্তবায়ন করবেন

এই প্রযুক্তিগত নির্দেশিকাটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের উচ্চশিক্ষার ক্যাম্পাস নেটওয়ার্ক সুরক্ষিত করতে SCEP ভিত্তিক সার্টিফিকেট এনরোলমেন্ট স্থাপনের জন্য একটি ভেন্ডর - নিরপেক্ষ ব্লুপ্রিন্ট প্রদান করে। এটি কীভাবে পাসওয়ার্ড ভিত্তিক PEAP থেকে 802.1X EAP-TLS-এ স্থানান্তরিত হতে হবে, BYOD অনবোর্ডিং স্বয়ংক্রিয় করতে হবে এবং শক্তিশালী VLAN সেগমেন্টেশন কার্যকর করতে হবে তা বিস্তারিতভাবে বর্ণনা করে।

গাইডটি পড়ুন →