On-Premises RADIUS (NPS) থেকে RADIUS-as-a-Service-এ মাইগ্রেশন
এই নির্ভরযোগ্য নির্দেশিকাটি অন-প্রিমিসেস Microsoft Network Policy Server (NPS) থেকে ক্লাউড-নেটিভ RADIUS-as-a-Service মডেলে মাইগ্রেট করার প্রযুক্তিগত আর্কিটেকচার, বাস্তবায়ন পদ্ধতি এবং ব্যবসায়িক প্রভাব বিস্তারিতভাবে বর্ণনা করে। এটি আইটি লিডার এবং নেটওয়ার্ক আর্কিটেক্টদের কর্মক্ষম ওভারহেড কমাতে, একক ব্যর্থতার বিন্দু দূর করতে এবং বিভিন্ন অবস্থানে এন্টারপ্রাইজ প্রমাণীকরণ সুরক্ষিত করতে ব্যবহারিক ফ্রেমওয়ার্ক প্রদান করে।
এই গাইডটি শুনুন
পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
- কার্যনির্বাহী সংক্ষিপ্তসার
- টেকনিক্যাল ডিপ-ডাইভ: আর্কিটেকচার এবং স্ট্যান্ডার্ডস
- অন-প্রেমিসেস NPS-এর সীমাবদ্ধতা
- ক্লাউড RADIUS আর্কিটেকচার
- বাস্তবায়ন নির্দেশিকা: ৫-ধাপের পদ্ধতি
- ধাপ ১: অডিট এবং ইনভেন্টরি
- ধাপ ২: পাইলট ডিপ্লয়মেন্ট
- ধাপ ৩: সমান্তরালভাবে চালানো (ঝুঁকি হ্রাস)
- ধাপ ৪: কাটওভার
- ধাপ ৫: ডিকমিশনিং
- সর্বোত্তম অনুশীলন এবং কমপ্লায়েন্স
- সমস্যা সমাধান এবং ঝুঁকি হ্রাস
- ROI এবং ব্যবসায়িক প্রভাব

কার্যনির্বাহী সংক্ষিপ্তসার
প্রায় দুই দশক ধরে, মাইক্রোসফটের Network Policy Server (NPS) এন্টারপ্রাইজ নেটওয়ার্কের জন্য ডিফল্ট RADIUS বাস্তবায়ন হিসেবে কাজ করে আসছে। তবে, ভেন্যু অপারেটররা যখন খুচরা চেইন থেকে শুরু করে বিশ্বব্যাপী আতিথেয়তা গ্রুপগুলির মতো বিভিন্ন স্থানে তাদের কার্যক্রম প্রসারিত করছে - তখন অন-প্রেমিসেস অথেন্টিকেশন অবকাঠামো পরিচালনার কর্মক্ষম বোঝা একটি বড় দায় হয়ে দাঁড়িয়েছে।
RADIUS as a Service-এ স্থানান্তরিত হওয়া অথেন্টিকেশনকে একটি পরিচালিত হার্ডওয়্যার উপাদান থেকে একটি ব্যবহৃত ক্লাউড সার্ভিসে রূপান্তর করে। এই আর্কিটেকচারাল পরিবর্তনটি একক NPS স্থাপনার মধ্যে থাকা ব্যর্থতার একক পয়েন্টগুলিকে দূর করে, হার্ডওয়্যার রিফ্রেশ চক্রের প্রয়োজনীয়তা দূর করে এবং স্টেডিয়াম এবং কনফারেন্স সেন্টারের মতো উচ্চ-ঘনত্বের পরিবেশের জন্য প্রয়োজনীয় নমনীয় স্কেলেবিলিটি প্রদান করে। আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, এই নির্দেশিকাটি প্রোডাকশন ট্রাফিকের উপর কোনো প্রভাব না ফেলে 802.1X অথেন্টিকেশন ক্লাউডে স্থানান্তরিত করার জন্য একটি ভেন্ডর-নিরপেক্ষ, সুগঠিত পদ্ধতি প্রদান করে, যা PCI-DSS এবং GDPR-এর সাথে সম্মতি নিশ্চিত করে এবং অথেন্টিকেশন অবকাঠামোর OpEx ৮০% পর্যন্ত হ্রাস করে।
টেকনিক্যাল ডিপ-ডাইভ: আর্কিটেকচার এবং স্ট্যান্ডার্ডস
এই স্থানান্তরটি বোঝার জন্য, আমাদের প্রথমে IEEE 802.1X পোর্ট-ভিত্তিক অ্যাক্সেস কন্ট্রোল কীভাবে সরবরাহ করা হয় তার আর্কিটেকচারাল পরিবর্তনটি পরীক্ষা করতে হবে।
অন-প্রেমিসেস NPS-এর সীমাবদ্ধতা
একটি ঐতিহ্যগত স্থাপনায়, অ্যাক্সেস পয়েন্টটি Network Access Server (NAS) হিসেবে কাজ করে, যা একটি অন-প্রেমিসেস NPS সার্ভারে অথেন্টিকেশন অনুরোধগুলি ফরওয়ার্ড করে। NPS সার্ভার কানেকশন অনুরোধের নীতিগুলি মূল্যায়ন করে, আইডেন্টিটি স্টোরের (সাধারণত LDAP-এর মাধ্যমে Active Directory) বিপরীতে শংসাপত্রগুলি যাচাই করে এবং একটি Access-Accept বা Access-Reject বার্তা ফেরত পাঠায়।
এই মডেলটি আধুনিক নেটওয়ার্কের জন্য তিনটি গুরুতর সীমাবদ্ধতা তৈরি করে: ১. হার্ডওয়্যারের উপর নির্ভরতা এবং রক্ষণাবেক্ষণ: NPS-এর জন্য ডেডিকেটেড ফিজিক্যাল বা ভার্চুয়াল মেশিনের প্রয়োজন হয়, যার জন্য ক্রমাগত প্যাচিং, ক্যাপাসিটি প্ল্যানিং এবং লাইফসাইকেল ম্যানেজমেন্টের প্রয়োজন হয়। ২. উচ্চ-প্রাপ্যতার জটিলতা: রিডান্ডেন্সি অর্জনের জন্য ফেইলওভার পেয়ারে NPS স্থাপন করতে হয়, যা প্রকৃত ভৌগোলিক রিডান্ডেন্সি প্রদান না করেই লাইসেন্সিং খরচ দ্বিগুণ করে। ৩. থ্রুপুট জটিলতা: পিক কনকারেন্সির সময় (যেমন স্টেডিয়ামে প্রবেশ বা খুচরা বিক্রয়ের পিক আওয়ার), একটি একক NPS ইনস্ট্যান্স একটি বাধা হয়ে উঠতে পারে, যার ফলে অথেন্টিকেশন টাইমআউট হয় এবং ব্যবহারকারীর অভিজ্ঞতা ব্যাহত হয়।
ক্লাউড RADIUS আর্কিটেকচার
RADIUS as a Service অথেন্টিকেশন স্তরটিকে আলাদা করে। ক্লাউড প্রদানকারী RADIUS সার্ভারের বিতরণ করা, ভৌগোলিকভাবে রিডান্ডেন্ট ক্লাস্টার পরিচালনা করে। NAS এই ক্লাউড এন্ডপয়েন্টগুলির দিকে নির্দেশ করে এবং অনুরোধগুলি স্বয়ংক্রিয়ভাবে লোড-ব্যালেন্সড হয়।

ট্রান্সপোর্ট সিকিউরিটি: RadSec-এর ভূমিকা যখন RADIUS ক্লাউডে স্থানান্তরিত হয়, তখন প্রমাণীকরণ ট্রাফিক পাবলিক ইন্টারনেটের মধ্য দিয়ে যাতায়াত করে। যদিও লিগ্যাসি RADIUS শেয়ার্ড সিক্রেট এবং MD5 হ্যাশিংয়ের উপর নির্ভর করে, আধুনিক ডিপ্লয়মেন্টে অবশ্যই RadSec (RADIUS over TLS, RFC 6614) প্রয়োগ করতে হবে। RadSec সম্পূর্ণ RADIUS কথোপকথনকে একটি TLS টানেলের মধ্যে (সাধারণত TCP পোর্ট ২০৮৩) এনক্যাপসুলেট করে, যা NAS এবং ক্লাউড RADIUS এন্ডপয়েন্টের মধ্যে পারস্পরিক প্রমাণীকরণের পাশাপাশি HTTPS-এর সমতুল্য ট্রান্সপোর্ট-লেয়ার এনক্রিপশন প্রদান করে।
আইডেন্টিটি ইন্টিগ্রেশন ক্লাউড RADIUS-এর জন্য আপনার ইউজার ডিরেক্টরি মাইগ্রেট করার প্রয়োজন নেই। পরিষেবাগুলো সাধারণত অন-প্রিমিসেস অ্যাক্টিভ ডিরেক্টরিতে LDAPS সংযোগ বা SAML বা SCIM-এর মাধ্যমে Azure Active Directory (Entra ID)-এর সাথে নেটিভ API ইন্টিগ্রেশন সমর্থন করে। এটি নিশ্চিত করে যে আপনার বিদ্যমান ইউজার লাইফসাইকেল ম্যানেজমেন্ট প্রক্রিয়াগুলো অপরিবর্তিত থাকবে।
যেসব ভেন্যু Guest WiFi প্ল্যাটফর্ম ব্যবহার করছে, সেগুলোর সাথে ক্লাউড RADIUS সরাসরি ইন্টিগ্রেট করে কর্পোরেট 802.1X প্রমাণীকরণ এবং গেস্ট নেটওয়ার্ক অ্যাক্সেস উভয়ের জন্য একটি ইউনিফাইড কন্ট্রোল প্লেন প্রদান করে, যার সাথে উন্নত WiFi Analytics -ও রয়েছে।
বাস্তবায়ন নির্দেশিকা: ৫-ধাপের পদ্ধতি
পরিষেবা ব্যাহত না করে মাইগ্রেশন সম্পাদন করতে একটি সুগঠিত, পর্যায়ক্রমিক পদ্ধতির প্রয়োজন।

ধাপ ১: অডিট এবং ইনভেন্টরি
যেকোনো পরিবর্তন করার আগে, বর্তমান অবস্থা নথিভুক্ত করুন:
- RADIUS ক্লায়েন্ট: প্রতিটি NAS চিহ্নিত করুন (ওয়্যারলেস অ্যাক্সেস পয়েন্ট, সুইচ, VPN কনসেনট্রেটর)।
- পলিসি: VLAN অ্যাসাইনমেন্টের জন্য ব্যবহৃত ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউট (VSAs) সহ বিদ্যমান NPS সংযোগের অনুরোধ এবং নেটওয়ার্ক পলিসিগুলো নথিভুক্ত করুন।
- EAP পদ্ধতি: কোন এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল পদ্ধতিগুলো ব্যবহার করা হচ্ছে তা চিহ্নিত করুন (যেমন EAP-TLS, PEAP-MSCHAPv2)।
ধাপ ২: পাইলট ডিপ্লয়মেন্ট
ক্লাউড RADIUS ইনস্ট্যান্সের ব্যবস্থা করুন এবং একটি নন-প্রোডাকশন SSID বা একটি একক টেস্ট সাইট কনফিগার করুন। আইডেন্টিটি ডিরেক্টরি ইন্টিগ্রেশন (যেমন Entra ID সিঙ্ক্রোনাইজেশন) যাচাই করুন এবং নিশ্চিত করুন যে EAP পদ্ধতিগুলো শুরু থেকে শেষ পর্যন্ত সঠিকভাবে কাজ করছে।
ধাপ ৩: সমান্তরালভাবে চালানো (ঝুঁকি হ্রাস)
ক্লাউড RADIUS সার্ভার (প্রাথমিক) এবং লিগ্যাসি NPS সার্ভার (ব্যাকআপ) উভয়ই একসাথে ব্যবহার করার জন্য প্রোডাকশন NAS ডিভাইসগুলো কনফিগার করুন। ন্যূনতম দুই সপ্তাহের জন্য এই কনফিগারেশন বজায় রাখুন। চূড়ান্ত স্থানান্তরের আগে যেকোনো পলিসির অমিল চিহ্নিত করতে প্রমাণীকরণের সাফল্যের হার, লেটেন্সি মেট্রিক্স এবং অ্যাকাউন্টিং ডেটা ফ্লো পর্যবেক্ষণ করুন।
ধাপ ৪: কাটওভার
একটি নির্ধারিত রক্ষণাবেক্ষণের সময়কালে, NAS ডিভাইস থেকে লিগ্যাসি NPS ব্যাকআপ কনফিগারেশনটি সরিয়ে ফেলুন। সম্পূর্ণভাবে ক্লাউড অবকাঠামোতে স্থানান্তরিত হোন। আপনার রোলব্যাক পদ্ধতি নথিভুক্ত এবং পরীক্ষিত হয়েছে তা নিশ্চিত করুন।
ধাপ ৫: ডিকমিশনিং
৩০ দিনের স্থিতিশীল অপারেশনের পর, লিগ্যাসি NPS সার্ভারগুলো নিরাপদে ডিকমিশন করুন এবং কম্পিউট রিসোর্সগুলো পুনরায় উদ্ধার করুন।
সর্বোত্তম অনুশীলন এবং কমপ্লায়েন্স
আপনার ক্লাউড RADIUS আর্কিটেকচার ডিজাইন করার সময় নিম্নলিখিত মানগুলো মেনে চলুন:
- Mandate RadSec: আপনার NAS হার্ডওয়্যার যদি RadSec (TCP 2083) সমর্থন করে, তবে স্ট্যান্ডার্ড UDP 1812/1813 ব্যবহার করে পাবলিক ইন্টারনেটের মাধ্যমে কখনই RADIUS ট্রাফিক পাঠাবেন না।
- সার্টিফিকেট ট্রাস্ট চেইন: ক্লায়েন্ট ডিভাইসগুলো যাতে ক্লাউড RADIUS সার্ভার সার্টিফিকেট ইস্যুকারী সার্টিফিকেট অথরিটি (CA)-কে বিশ্বাস করে তা নিশ্চিত করুন। মাইগ্রেশনের আগে MDM বা গ্রুপ পলিসির মাধ্যমে ম্যানেজড ডিভাইসগুলোতে রুট CA পুশ করুন।
- কমপ্লায়েন্স অবস্থান: এমন একটি ক্লাউড RADIUS প্রোভাইডার বেছে নিন যা SOC 2 Type II প্রমাণীকরণ এবং ISO 27001 সার্টিফিকেশন বজায় রাখে। এটি আপনার বার্ষিক PCI-DSS মূল্যায়নকে উল্লেখযোগ্যভাবে সহজ করে তোলে, বিশেষ করে রিটেল এবং হসপিটালিটি পরিবেশের জন্য।
আরও ব্যাপক নেটওয়ার্ক ডিজাইন নীতির জন্য, আমাদের গাইডগুলো দেখুন: ব্যবসায়ের জন্য WiFi সেট আপ করা: ২০২৬ সালের একটি গাইড এবং সর্বোত্তম চ্যানেল পরিকল্পনার জন্য RSSI এবং সিগন্যাল স্ট্রেন্থ বোঝা ।
সমস্যা সমাধান এবং ঝুঁকি হ্রাস
| ব্যর্থতার ধরণ | মূল কারণ | প্রশমন কৌশল |
|---|---|---|
| অথেনটিকেশন টাইমআউট | ফায়ারওয়াল আউটবাউন্ড UDP 1812/1813 বা TCP 2083 ব্লক করছে। | পেরিমিটার ফায়ারওয়াল নিয়মগুলো ক্লাউড RADIUS প্রোভাইডারের নির্দিষ্ট IP রেঞ্জে আউটবাউন্ড ট্রাফিক অনুমতি দিচ্ছে কিনা তা যাচাই করুন। |
| সার্টিফিকেট ট্রাস্ট ত্রুটি | ক্লায়েন্ট ডিভাইসের ট্রাস্ট স্টোরে রুট CA অনুপস্থিত। | ফেজ ৩ (সমান্তরাল চলমান) এর আগে MDM/GPO-এর মাধ্যমে রুট CA স্থাপন করুন। |
| VLAN অ্যাসাইনমেন্ট ব্যর্থতা | ভেন্ডর-নির্দিষ্ট অ্যাট্রিবিউট (VSAs) ক্লাউড পলিসিতে সঠিকভাবে ম্যাপ করা নেই। | ফেজ ১-এর সময়, NPS থেকে হুবহু VSA স্ট্রিং ফরম্যাটগুলো ক্লাউড RADIUS পলিসি ইঞ্জিনে রেপ্লিকেট করুন। |
| WAN বিভ্রাটের প্রভাব | ইন্টারনেট সংযোগ বিচ্ছিন্ন হওয়ার কারণে ক্লাউড RADIUS অ্যাক্সেস করা যাচ্ছে না। | রিডান্ডেন্ট WAN লিঙ্ক স্থাপন করুন, অথবা পরিচিত ডিভাইসগুলোর জন্য ক্রেডেনশিয়াল ক্যাশ করে এমন একটি স্থানীয় RADIUS প্রক্সি প্রয়োগ করুন। |
ROI এবং ব্যবসায়িক প্রভাব
RADIUS-as-a-Service-এ মাইগ্রেট করা পরিমাপযোগ্য ব্যবসায়িক ফলাফল প্রদান করে:
- খরচ হ্রাস: হার্ডওয়্যার সংগ্রহ, Windows Server লাইসেন্সিং এবং প্যাচিং ও রক্ষণাবেক্ষণের পিছনে ব্যয় করা ইঞ্জিনিয়ারিং সময় বাঁচায়। সাধারণত OpEx ৬০-৮০% হ্রাস পায়।
- নির্ভরযোগ্যতা SLAs: ক্লাউড প্রোভাইডাররা আর্থিকভাবে সমর্থিত ৯৯.৯৯% অ্যাভেলেবিলিটি SLAs অফার করে, যেখানে একটি সিঙ্গেল-সাইট NPS স্থাপনে সাধারণত ৯৭-৯৮% অ্যাভেলেবিলিটি পাওয়া যায়।
- তত্পরতা: স্থানীয় অথেনটিকেশন হার্ডওয়্যার প্রোভিশন না করেই তাৎক্ষণিকভাবে নতুন সাইটগুলো অনলাইনে আনুন, যা পরিবহন হাব এবং হেলথকেয়ার সংস্থাগুলোর স্থাপনার সময়সীমা সংক্ষিপ্ত করে।
আমাদের সিনিয়র কনসালটেন্ট টিমের এই ১০ মিনিটের ব্রিফিংয়ে কৌশলগত প্রভাবগুলো নিয়ে আলোচনা শুনুন:
মূল সংজ্ঞাসমূহ
RADIUS (Remote Authentication Dial-In User Service)
একটি নেটওয়ার্কিং প্রোটোকল যা একটি নেটওয়ার্ক পরিষেবা সংযোগ এবং ব্যবহারকারী ব্যবহারকারীদের জন্য কেন্দ্রীভূত প্রমাণীকরণ, অনুমোদন এবং অ্যাকাউন্টিং (AAA) ব্যবস্থাপনা প্রদান করে।
নেটওয়ার্ক অ্যাক্সেস দেওয়ার আগে ব্যবহারকারীর শংসাপত্র যাচাই করতে এন্টারপ্রাইজ WiFi নেটওয়ার্কগুলো দ্বারা ব্যবহৃত মূল প্রোটোকল।
NPS (Network Policy Server)
Windows Server-এ একটি ভূমিকা হিসাবে বান্ডিল করা Microsoft-এর একটি RADIUS সার্ভার এবং প্রক্সি বাস্তবায়ন।
লেগ্যাসি অন-প্রিমিসেস অবকাঠামো যা রক্ষণাবেক্ষণ ওভারহেড কমাতে সংস্থাগুলো সক্রিয়ভাবে মাইগ্রেট করছে।
NAS (Network Access Server)
যে ডিভাইসটি নেটওয়ার্কের গেটওয়ে হিসাবে কাজ করে এবং RADIUS সার্ভারে প্রমাণীকরণের অনুরোধগুলো পাঠায়।
ওয়্যারলেস প্রসঙ্গে, NAS সাধারণত WiFi অ্যাক্সেস পয়েন্ট বা ওয়্যারলেস LAN কন্ট্রোলার হয়ে থাকে।
RadSec (RADIUS over TLS)
RFC 6614-এ সংজ্ঞায়িত একটি প্রোটোকল যা TLS দিয়ে এনক্রিপ্ট করা একটি TCP সংযোগের মাধ্যমে RADIUS প্যাকেটগুলো পরিবহন করে।
পাবলিক ইন্টারনেট অতিক্রম করার সময় শংসাপত্রের ডেটা এনক্রিপ্ট করা নিশ্চিত করার জন্য ক্লাউড RADIUS স্থাপনে অত্যন্ত গুরুত্বপূর্ণ।
EAP (Extensible Authentication Protocol)
একটি প্রমাণীকরণ ফ্রেমওয়ার্ক যা প্রায়শই ওয়্যারলেস নেটওয়ার্ক এবং পয়েন্ট-টু-পয়েন্ট সংযোগে ব্যবহৃত হয়।
ক্লায়েন্ট এবং সার্ভার কীভাবে নিরাপদে শংসাপত্র বিনিময় করে তা নির্ধারণ করে (যেমন, EAP-TLS-এর মাধ্যমে শংসাপত্র, বা PEAP-এর মাধ্যমে পাসওয়ার্ড)।
VSA (Vendor-Specific Attribute)
মালিকানাধীন বৈশিষ্ট্যগুলো সমর্থন করার জন্য RADIUS প্রোটোকলের মধ্যে হার্ডওয়্যার বিক্রেতাদের দ্বারা সংজ্ঞায়িত কাস্টম বৈশিষ্ট্য।
মাইগ্রেশনের সময় অত্যন্ত গুরুত্বপূর্ণ; ডায়নামিকভাবে নির্দিষ্ট নেটওয়ার্ক VLAN-এ প্রমাণিত ব্যবহারকারীদের বরাদ্দ করতে প্রায়শই VSA ব্যবহার করা হয়।
LDAPS (Lightweight Directory Access Protocol over SSL)
অ্যাক্টিভ ডিরেক্টরির মতো ডিরেক্টরি পরিষেবাগুলি কোয়েরি এবং সংশোধন করার জন্য একটি নিরাপদ প্রোটোকল।
ব্যবহারকারী ডিরেক্টরি ক্লাউডে মাইগ্রেট না করে অন-প্রিমিসেস আইডেন্টিটি স্টোরগুলি নিরাপদে কোয়েরি করতে ক্লাউড RADIUS পরিষেবাগুলি এটি ব্যবহার করে।
802.1X
পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল (PNAC) এর জন্য একটি IEEE স্ট্যান্ডার্ড।
অন্তর্নিহিত স্ট্যান্ডার্ড যা এন্টারপ্রাইজ LAN বা WLAN-এ শুধুমাত্র প্রমাণীকৃত ডিভাইসগুলি যাতে ট্রাফিক পাস করতে পারে তা নিশ্চিত করতে RADIUS ব্যবহার করে।
সমাধানকৃত উদাহরণসমূহ
একটি ২০০টি প্রপার্টি বিশিষ্ট হোটেল গ্রুপ বর্তমানে কর্মীদের 802.1X প্রমাণীকরণের জন্য প্রতিটি সাইটে স্থানীয় NPS সার্ভার পরিচালনা করছে। তারা Microsoft Entra ID (Azure AD)-এ মাইগ্রেট করছে এবং স্থানীয় সার্ভারগুলো নিষ্ক্রিয় করতে চায়। তাদের কীভাবে মাইগ্রেশন শুরু করা উচিত?
১. একটি ক্লাউড RADIUS পরিষেবা স্থাপন করুন যা SAML/SCIM এর মাধ্যমে Microsoft Entra ID-এর সাথে নেটিভভাবে সংহত হয়। ২. Microsoft Entra ID গ্রুপগুলোকে (যেমন, 'Front Desk', 'Management') নির্দিষ্ট VLAN VSA-তে ম্যাপ করার জন্য ক্লাউড RADIUS পলিসিগুলো কনফিগার করুন। ৩. একটি পাইলট প্রপার্টিতে, ক্লাউড RADIUS এন্ডপয়েন্টের সাথে সংযোগ করতে RadSec ব্যবহার করার জন্য অ্যাক্সেস পয়েন্টগুলো কনফিগার করুন। ৪. Microsoft Intune-এর মাধ্যমে সমস্ত কর্মীদের ডিভাইসে ক্লাউড RADIUS সার্ভারের Root CA পুশ করুন। ৫. পাইলট সাইটে সমান্তরাল প্রমাণীকরণ চালান, তারপর বাকি ১৯৯টি প্রপার্টিতে পর্যায়ক্রমে রোল-আউট সম্পন্ন করুন।
৫০,০০০ ধারণক্ষমতার একটি স্টেডিয়ামে বড় ইভেন্টগুলোর সময় তাদের কর্পোরেট SSID-এ প্রমাণীকরণ ব্যর্থতা দেখা দেয়, কারণ তাদের অন-প্রিমিসেস NPS সার্ভার একসাথে হাজার হাজার ডিভাইসের রোমিংয়ের থ্রুপুট পরিচালনা করতে পারে না।
১. বিদ্যমান NPS পলিসি এবং EAP পদ্ধতিগুলো অডিট করুন। ২. প্রতি সেকেন্ডে উচ্চ প্রমাণীকরণ (APS) পরিচালনা করার জন্য অটো-স্কেলিং করতে সক্ষম এমন একটি ক্লাউড RADIUS পরিষেবা প্রস্তুত করুন। ৩. ক্লাউড RADIUS পরিষেবা থেকে স্টেডিয়ামের অন-প্রিমিসেস Active Directory-তে একটি LDAPS সংযোগ স্থাপন করুন। ৪. স্টেডিয়ামের হাই-ডেন্সিটি ওয়্যারলেস LAN কন্ট্রোলারগুলোকে প্রাথমিক প্রমাণীকরণ সার্ভার হিসাবে ক্লাউড RADIUS এন্ডপয়েন্টের দিকে নির্দেশ করার জন্য আপডেট করুন।
অনুশীলনী প্রশ্নসমূহ
Q1. আপনার প্রতিষ্ঠান ক্লাউড RADIUS-এ মাইগ্রেট করছে। সিকিউরিটি টিম নির্দেশ দিয়েছে যে ইন্টারনেটে কোনো অথেনটিকেশন ট্রাফিক ক্লিয়ারটেক্সটে বা MD5 এর মতো অবলুপ্ত হ্যাশিং অ্যালগরিদম ব্যবহার করে পাঠানো যাবে না। আপনার ওয়্যারলেস LAN কন্ট্রোলারে আপনাকে কোন প্রোটোকল কনফিগার করতে হবে?
ইঙ্গিত: এমন প্রোটোকলটি খুঁজুন যা একটি TLS টানেলে RADIUS-কে আবৃত করে।
মডেল উত্তর দেখুন
আপনাকে RadSec (RADIUS over TLS) কনফিগার করতে হবে। RadSec, NAS এবং ক্লাউড RADIUS সার্ভারের মধ্যে TCP পোর্ট ২০৮৩-এর ওপর একটি TLS টানেল স্থাপন করে, যা ট্রান্সপোর্ট-লেয়ার এনক্রিপশন এবং মিউচুয়াল অথেনটিকেশন প্রদান করে সিকিউরিটি টিমের প্রয়োজনীয়তা পূরণ করে।
Q2. আপনার মাইগ্রেশনের ফেজ ৩ (প্যারালাল রানিং) চলাকালীন, আপনি লক্ষ্য করেছেন যে ব্যবহারকারীরা ক্লাউড RADIUS সার্ভারে সফলভাবে প্রমাণীকরণ করছেন, কিন্তু তাদের সঠিক নেটওয়ার্ক সেগমেন্টে রাখা হচ্ছে না। সবচেয়ে সম্ভাব্য কনফিগারেশন গ্যাপ কোনটি?
ইঙ্গিত: একটি RADIUS সার্ভার কীভাবে একটি অ্যাক্সেস পয়েন্টকে কোন নেটওয়ার্ক সেগমেন্ট ব্যবহার করতে হবে তা বলে?
মডেল উত্তর দেখুন
ডায়নামিক VLAN অ্যাসাইনমেন্টের জন্য ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউটস (VSAs) ক্লাউড RADIUS পলিসিতে সঠিকভাবে কনফিগার করা হয়নি। আপনাকে নিশ্চিত করতে হবে যে লেগাসি NPS সার্ভারে ব্যবহৃত সঠিক VSA স্ট্রিংগুলি ক্লাউড এনভায়রনমেন্টে রেপ্লিকেট করা হয়েছে যাতে NAS বুঝতে পারে ব্যবহারকারীকে কোন VLAN অ্যাসাইন করতে হবে।
Q3. একটি ক্লায়েন্ট ডিভাইস বারবার নতুন ক্লাউড RADIUS পরিষেবার বিপরীতে EAP-TLS প্রমাণীকরণে ব্যর্থ হচ্ছে, কিন্তু এটি লেগাসি NPS সার্ভারের সাথে ঠিকঠাক কাজ করে। ডিভাইস লগগুলি একটি 'untrusted server' ত্রুটি দেখাচ্ছে। এটি আপনি কীভাবে সমাধান করবেন?
ইঙ্গিত: EAP-TLS এর জন্য ক্লায়েন্টকে সার্ভারের আইডেন্টিটি বিশ্বাস করতে হবে।
মডেল উত্তর দেখুন
ক্লায়েন্ট ডিভাইসের বিশ্বস্ত রুট স্টোরে ক্লাউড RADIUS সার্ভারের সার্টিফিকেট ইস্যুকারী রুট সার্টিফিকেট অথরিটি (CA) নেই। একটি মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) সমাধান বা গ্রুপ পলিসি ব্যবহার করে আপনাকে ক্লায়েন্ট ডিভাইসে রুট CA ডেপ্লয় করতে হবে।
এই সিরিজে পড়া চালিয়ে যান
হাইব্রিড ওয়ার্কফোর্সের জন্য RADIUS as a Service-এর সুরক্ষাজনিত সুবিধাসমূহ
এই প্রযুক্তিগত রেফারেন্স গাইডটি ব্যাখ্যা করে যে কীভাবে RADIUS as a Service বিভিন্ন স্থানে ছড়িয়ে থাকা হাইব্রিড ওয়ার্কফোর্সের জন্য নেটওয়ার্ক অ্যাক্সেস সুরক্ষিত করে। এটি অন-প্রিমিসেস RADIUS ইনফ্রাস্ট্রাকচারকে একটি ক্লাউড-পরিচালিত অথেন্টিকেশন পরিষেবা দিয়ে প্রতিস্থাপন করার আর্কিটেকচার, সুরক্ষাজনিত সুবিধা এবং ডেপ্লয়মেন্টের ধাপগুলো কভার করে। হোটেল, রিটেল চেইন, স্টেডিয়াম এবং পাবলিক সেক্টর প্রতিষ্ঠানের IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, এই গাইডটি এই ত্রৈমাসিকে ক্লাউড RADIUS মাইগ্রেশন মূল্যায়ন এবং কার্যকর করার জন্য প্রয়োজনীয় প্রমাণ সরবরাহ করে।
ক্লাউড ডিরেক্টরি (Azure AD এবং Google Workspace)-এর সাথে RADIUS as a Service একীকরণ করা
এই টেকনিক্যাল রেফারেন্স গাইডটিতে এন্টারপ্রাইজ WiFi অথেন্টিকেশনের জন্য ক্লাউড ডিরেক্টরি - Microsoft Entra ID এবং Google Workspace - এর সাথে RADIUS as a Service কীভাবে একীভূত করতে হয় তা বিস্তারিতভাবে আলোচনা করা হয়েছে। এটি অন-প্রেমিস NPS থেকে ক্লাউড-নেটিভ RADIUS-এ আর্কিটেকচারাল স্থানান্তর, সার্টিফিকেট-ভিত্তিক EAP-TLS অথেন্টিকেশনের ডেপ্লয়মেন্ট এবং হসপিটালিটি, রিটেল এবং পাবলিক-সেক্টর এনভায়রনমেন্ট জুড়ে ওয়্যারলেস অ্যাক্সেস সুরক্ষিত করার জন্য অপারেশনাল সেরা অনুশীলনগুলো কভার করে। ইতিমধ্যে ক্লাউড আইডেন্টিটিতে বিনিয়োগকারী IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, এই গাইডটি ডিরেক্টরি ম্যানেজমেন্ট এবং ফিজিক্যাল নেটওয়ার্ক সিকিউরিটির মধ্যকার ব্যবধান দূর করে।
কীভাবে Cloud RADIUS-এর সাথে 802.1X প্রমাণীকরণ বাস্তবায়ন করবেন
এই প্রযুক্তিগত রেফারেন্স গাইডটি বিতরণ করা এন্টারপ্রাইজ এস্টেট জুড়ে Cloud RADIUS-এর সাথে 802.1X প্রমাণীকরণ বাস্তবায়নের জন্য একটি ব্যাপক কাঠামো প্রদান করে। এটি অন-প্রিমিসেস অবকাঠামোর কার্যক্ষম ওভারহেড দূর করার পাশাপাশি নেটওয়ার্ক অ্যাক্সেস সুরক্ষিত করার জন্য প্রয়োজনীয় আর্কিটেকচার, EAP পদ্ধতি নির্বাচন, স্থাপনার অনুক্রম এবং ঝুঁকি প্রশমন কৌশলগুলির বিশদ বিবরণ দেয়।