মূল কন্টেন্টে যান
বাংলা

On-Premises RADIUS (NPS) থেকে RADIUS as a Service-এ মাইগ্রেশন

এই নির্ভরযোগ্য নির্দেশিকাটিতে অন-প্রিমিসেস Microsoft Network Policy Server (NPS) থেকে ক্লাউড-নেটিভ RADIUS as a Service মডেলে মাইগ্রেট করার প্রযুক্তিগত আর্কিটেকচার, বাস্তবায়ন পদ্ধতি এবং ব্যবসায়িক প্রভাব বিস্তারিতভাবে আলোচনা করা হয়েছে। এটি আইটি লিডার এবং নেটওয়ার্ক আর্কিটেক্টদের অপারেশনাল ওভারহেড কমাতে, একক পয়েন্ট অফ ফেইলিওর দূর করতে এবং বিতরণকৃত ভেন্যু জুড়ে এন্টারপ্রাইজ অথেন্টিকেশন সুরক্ষিত করার জন্য ব্যবহারিক ফ্রেমওয়ার্ক প্রদান করে।

📖 5 মিনিট পাঠ📝 1,066 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
PODCAST SCRIPT: Migrating from On-Premises RADIUS (NPS) to RADIUS as a Service Duration: ~10 minutes | Voice: UK English, Male, Senior Consultant tone --- SEGMENT 1: INTRODUCTION AND CONTEXT Purple WiFi-এর টেকনিক্যাল ব্রিফিং সিরিজে আপনাকে স্বাগতম। আজ আমরা এমন একটি মাইগ্রেশন নিয়ে আলোচনা করছি যা বর্তমানে উল্লেখযোগ্য সংখ্যক এন্টারপ্রাইজ আইটি টিমের রোডম্যাপে রয়েছে: অন-প্রিমিসেস RADIUS — বিশেষ করে Microsoft-এর Network Policy Server — থেকে একটি ক্লাউড-হোস্টেড RADIUS as a Service মডেলে স্থানান্তরিত হওয়া। আপনি যদি কোনো হোটেল গ্রুপ, রিটেইল এস্টেট, স্টেডিয়াম বা পাবলিক-সেক্টর ক্যাম্পাস জুড়ে WiFi অথেন্টিকেশন পরিচালনা করেন, তবে এটি সরাসরি আপনার জন্য প্রাসঙ্গিক। অন-প্রিমিসেস NPS মডেলটি প্রায় দুই দশক ধরে আমাদের ভালো সেবা দিয়েছে, কিন্তু অপারেশনাল ওভারহেড, একক পয়েন্ট অফ ফেইলিওরের ঝুঁকি এবং স্কেলিং সীমাবদ্ধতাগুলি সমর্থন করা ক্রমশ কঠিন হয়ে উঠছে — বিশেষ করে যখন ক্লাউড-নেটিভ বিকল্পগুলি এখন মালিকানার মোট খরচের একটি ভগ্নাংশে এন্টারপ্রাইজ-গ্রেড নির্ভরযোগ্যতা প্রদান করে। পরবর্তী দশ মিনিটে, আমরা উভয় পদ্ধতির প্রযুক্তিগত আর্কিটেকচার কভার করব, একটি কাঠামোগত মাইগ্রেশন পদ্ধতির মধ্য দিয়ে যাব, দুটি বাস্তব-জগতের বাস্তবায়ন পরিস্থিতি দেখব এবং আত্মবিশ্বাসের সাথে এই সিদ্ধান্ত নেওয়ার জন্য প্রয়োজনীয় মূল সিদ্ধান্ত ফ্রেমওয়ার্কগুলির মাধ্যমে শেষ করব। চলুন শুরু করা যাক। --- SEGMENT 2: TECHNICAL DEEP-DIVE প্রথমে, আসুন নিশ্চিত করি যে আপনার নেটওয়ার্ক স্ট্যাকে RADIUS আসলে কী কাজ করে সে সম্পর্কে আমরা একমত। RADIUS — Remote Authentication Dial-In User Service — হলো RFC 2865-এ সংজ্ঞায়িত প্রোটোকল যা নেটওয়ার্ক অ্যাক্সেসের জন্য অথেন্টিকেশন, অথরাইজেশন এবং অ্যাকাউন্টিং পরিচালনা করে। WiFi-এর প্রসঙ্গে, এটি IEEE 802.1X পোর্ট-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণের মেরুদণ্ড। যখন একটি ডিভাইস WPA2-Enterprise বা WPA3-Enterprise SSID-এর সাথে সংযোগ করে, তখন অ্যাক্সেস পয়েন্টটি একটি RADIUS ক্লায়েন্ট — যাকে আমরা Network Access Server বলি — হিসাবে কাজ করে এবং অথেন্টিকেশন অনুরোধটি RADIUS সার্ভারে ফরোয়ার্ড করে। সার্ভার ক্রেডেনশিয়ালগুলি যাচাই করে, সাধারণত Active Directory বা একটি LDAP ডিরেক্টরির বিপরীতে, এবং একটি Access-Accept বা Access-Reject প্রতিক্রিয়া প্রদান করে। এটিই মৌলিক প্রবাহ। এখন, অন-প্রিমিসেস NPS মডেলে — Network Policy Server হলো Windows Server-এর সাথে বান্ডেল করা Microsoft-এর RADIUS বাস্তবায়ন — আপনি আপনার মালিকানাধীন হার্ডওয়্যারে, একটি ডেটা সেন্টার বা সার্ভার রুমে সেই অথেন্টিকেশন লজিক চালাচ্ছেন যা আপনি রক্ষণাবেক্ষণ করেন। NPS সার্ভার আপনার নেটওয়ার্ক পলিসি, EAP-TLS বা PEAP-MSCHAPv2-এর জন্য আপনার সার্টিফিকেট ইনফ্রাস্ট্রাকচার এবং আপনার সংযোগ অনুরোধের পলিসিগুলি ধারণ করে। এটি কাজ করে। এটি পরিপক্ক। কিন্তু এটি এমন কিছু অপারেশনাল বাস্তবতার সাথে আসে যা সময়ের সাথে সাথে জটিল হয়ে ওঠে। প্রথমটি হলো হার্ডওয়্যার নির্ভরতা। আপনার NPS সার্ভার হলো একটি ফিজিক্যাল বা ভার্চুয়াল মেশিন যার প্যাচিং, ক্যাপাসিটি প্ল্যানিং এবং শেষ পর্যন্ত হার্ডওয়্যার রিফ্রেশের প্রয়োজন হয়। একটি মাল্টি-সাইট ডিপ্লয়মেন্টে — ধরা যাক, যুক্তরাজ্য জুড়ে প্রোপার্টি সহ একটি হোটেল গ্রুপ — আপনি হয় WAN নির্ভরতা সহ একটি সেন্ট্রালাইজড NPS চালাচ্ছেন, অথবা আপনি প্রতিটি সাইটে NPS ইনস্ট্যান্স স্থাপন করছেন এবং সেগুলি আলাদাভাবে পরিচালনা করছেন। কোনোটিই মার্জিত নয়। দ্বিতীয়টি হলো প্রাপ্যতা। একটি একক NPS ইনস্ট্যান্স আপনার সম্পূর্ণ অথেন্টিকেশন ইনফ্রাস্ট্রাকচারের জন্য একটি একক পয়েন্ট অফ ফেইলিওর। হ্যাঁ, আপনি একটি ফেইলওভার পেয়ারে NPS স্থাপন করতে পারেন, তবে এটি আপনার হার্ডওয়্যার এবং লাইসেন্সিং ওভারহেড দ্বিগুণ করে এবং এটি এখনও আপনাকে সেই জিওগ্রাফিক রিডান্ডেন্সি দেয় না যা একটি ক্লাউড পরিষেবা নেটিভভাবে প্রদান করে। তৃতীয়টি হলো স্কেলিবিলিটি। NPS কর্পোরেট LAN এনভায়রনমেন্টের জন্য ডিজাইন করা হয়েছিল। যখন আপনি একটি স্টেডিয়াম ইভেন্ট বা একটি কনফারেন্স সেন্টারের পিক টাইমে হাজার হাজার সমসাময়িক অথেন্টিকেশন অনুরোধ পরিচালনা করছেন, তখন একটি একক NPS ইনস্ট্যান্সের থ্রুপুট সীমাবদ্ধতাগুলি খুব স্পষ্ট হয়ে ওঠে। অথেন্টিকেশন ল্যাটেন্সি বৃদ্ধি পায় এবং ব্যবহারকারীরা ঠিক সেই মুহূর্তে সংযোগ ব্যর্থতার সম্মুখীন হন যখন আপনি এটি একেবারেই সহ্য করতে পারেন না। RADIUS as a Service আর্কিটেকচারালভাবে এই তিনটি সীমাবদ্ধতারই সমাধান করে। ক্লাউড RADIUS প্রদানকারী RADIUS সার্ভারগুলির একটি বিতরণকৃত, জিও-রিডান্ডেন্ট ক্লাস্টার চালায়। আপনার অ্যাক্সেস পয়েন্টগুলি অন-প্রিমিসেস সার্ভারের পরিবর্তে ক্লাউড-হোস্টেড RADIUS এন্ডপয়েন্টগুলিকে নির্দেশ করে। অথেন্টিকেশন অনুরোধগুলি ক্লাস্টার জুড়ে লোড-ব্যালেন্স করা হয় এবং ফেইলওভার স্বয়ংক্রিয় ও স্বচ্ছ হয়। প্রদানকারী প্যাচিং, ক্যাপাসিটি স্কেলিং এবং সার্টিফিকেট ম্যানেজমেন্ট পরিচালনা করে। নেটওয়ার্ক অপারেটর হিসাবে আপনার দৃষ্টিকোণ থেকে, RADIUS একটি পরিচালিত উপাদানের পরিবর্তে একটি ব্যবহৃত পরিষেবাতে পরিণত হয়। অথেন্টিকেশন প্রোটোকলগুলি নিজেরা পরিবর্তিত হয় না। আপনি এখনও আপনার ক্লায়েন্ট ডিভাইসের মিশ্রণের উপর নির্ভর করে EAP-TLS, PEAP-MSCHAPv2, বা EAP-TTLS সহ IEEE 802.1X চালাচ্ছেন। পার্থক্য হলো RADIUS সার্ভারটি কোথায় থাকে এবং এর অপারেশনাল ধারাবাহিকতার জন্য কে দায়ী। এখানে একটি গুরুত্বপূর্ণ নিরাপত্তা বিবেচনা রয়েছে যা আমি সরাসরি সমাধান করতে চাই, কারণ এটি প্রায় প্রতিটি ক্লায়েন্ট আলোচনায় উঠে আসে। RADIUS-কে ক্লাউডে স্থানান্তরিত করার অর্থ হলো আপনার অথেন্টিকেশন ট্রাফিক ক্লাউড RADIUS এন্ডপয়েন্টে পৌঁছানোর জন্য পাবলিক ইন্টারনেট অতিক্রম করছে। এটি দুটি প্রক্রিয়ার মাধ্যমে প্রশমিত করা হয়। প্রথমত, Network Access Server এবং RADIUS সার্ভারের মধ্যে RADIUS ট্রাফিক একটি শেয়ার্ড সিক্রেট এবং MD5-ভিত্তিক মেসেজ অথেন্টিকেশন ব্যবহার করে সুরক্ষিত থাকে। দ্বিতীয়ত, এবং আধুনিক ডিপ্লয়মেন্টের জন্য আরও গুরুত্বপূর্ণভাবে, আপনার RadSec — RADIUS over TLS, যা RFC 6614-এ সংজ্ঞায়িত — চালানো উচিত, যা সম্পূর্ণ RADIUS কথোপকথনকে একটি TLS টানেলে আবৃত করে। এটি আপনাকে HTTPS-এর সমতুল্য ট্রান্সপোর্ট-লেয়ার এনক্রিপশন দেয়, MD5 দুর্বলতা দূর করে এবং NAS ও RADIUS সার্ভারের মধ্যে মিউচুয়াল অথেন্টিকেশন প্রদান করে। যেকোনো বিবেচনাযোগ্য ক্লাউড RADIUS প্রদানকারীর স্ট্যান্ডার্ড হিসেবে RadSec সমর্থন করা উচিত। আইডেন্টিটি ইন্টিগ্রেশনের দিকে, ক্লাউড RADIUS পরিষেবাগুলি সাধারণত আপনার অন-প্রিমিসেস Active Directory-তে ফিরে যাওয়ার জন্য LDAP এবং LDAPS সংযোগ সমর্থন করে, অথবা SAML বা SCIM-এর মাধ্যমে Azure Active Directory এবং Entra ID-এর সাথে নেটিভ ইন্টিগ্রেশন সমর্থন করে। এর অর্থ হলো আপনার ব্যবহারকারী ডিরেক্টরি মাইগ্রেট করার প্রয়োজন নেই — ক্লাউড RADIUS পরিষেবা আপনার বিদ্যমান আইডেন্টিটি স্টোরকে কোয়েরি করে, আপনার বিদ্যমান ব্যবহারকারী লাইফসাইকেল ম্যানেজমেন্ট প্রক্রিয়াগুলি বজায় রাখে। কমপ্লায়েন্স-সচেতন সংস্থাগুলির জন্য — এবং এর মধ্যে PCI DSS-এর অধীনে পেমেন্ট কার্ড ডেটা বা GDPR-এর অধীনে ব্যক্তিগত ডেটা পরিচালনাকারী যে কেউ অন্তর্ভুক্ত — ক্লাউড RADIUS প্রদানকারী যারা SOC 2 Type II প্রত্যয়িত এবং ISO 27001 স্বীকৃত তারা স্ব-পরিচালিত NPS ইনফ্রাস্ট্রাকচারের চেয়ে শক্তিশালী কমপ্লায়েন্স পোস্টার প্রদান করে। --- SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS ঠিক আছে, আসুন কথা বলি কীভাবে আপনি আপনার অথেন্টিকেশন ইনফ্রাস্ট্রাকচার অফলাইনে না নিয়েই এই মাইগ্রেশনটি কার্যকর করবেন। আমি যে পদ্ধতির সুপারিশ করি তা হলো একটি পাঁচ-পর্যায়ের পদ্ধতি। প্রথম পর্যায় হলো অডিট এবং ইনভেন্টরি। প্রতিটি RADIUS ক্লায়েন্ট — প্রতিটি অ্যাক্সেস পয়েন্ট, প্রতিটি সুইচ, প্রতিটি VPN কনসেনট্রেটর — এর বর্তমান শেয়ার্ড সিক্রেট, এটি যে EAP পদ্ধতি ব্যবহার করছে এবং আপনার NPS পলিসির যেকোনো ভেন্ডর-নির্দিষ্ট বৈশিষ্ট্য সহ নথিভুক্ত করুন। এটি একটি নিরানন্দ কাজ, কিন্তু এটি এড়িয়ে যাওয়া মাইগ্রেশন ব্যর্থতার এক নম্বর কারণ। দ্বিতীয় পর্যায় হলো পাইলট ডিপ্লয়মেন্ট। আপনার ক্লাউড RADIUS ইনস্ট্যান্স চালু করুন এবং একটি নন-প্রোডাকশন SSID বা একটি একক টেস্ট সাইটকে এটির দিকে নির্দেশ করুন। যাচাই করুন যে আপনার EAP পদ্ধতি এন্ড-টু-এন্ড কাজ করছে, আপনার আইডেন্টিটি ইন্টিগ্রেশন কাজ করছে এবং আপনার অ্যাকাউন্টিং ডেটা সঠিকভাবে প্রবাহিত হচ্ছে। তৃতীয় পর্যায় হলো সমান্তরালভাবে চালানো। এটি অত্যন্ত গুরুত্বপূর্ণ ঝুঁকি প্রশমন পদক্ষেপ। আপনার অ্যাক্সেস পয়েন্টগুলিকে অন-প্রিমিসেস NPS সার্ভার এবং ক্লাউড RADIUS সার্ভার উভয়কেই অথেন্টিকেশন টার্গেট হিসাবে কনফিগার করুন, যেখানে ক্লাউড পরিষেবা প্রাথমিক এবং NPS ফলব্যাক হিসাবে থাকবে। একটি সম্পূর্ণ ব্যবসায়িক চক্র জুড়ে ন্যূনতম দুই সপ্তাহের জন্য এই কনফিগারেশনে চালান। অথেন্টিকেশন সাফল্যের হার, ল্যাটেন্সি এবং যেকোনো পলিসির অসঙ্গতি পর্যবেক্ষণ করুন। চতুর্থ পর্যায় হলো কাটওভার। NPS ফলব্যাক কনফিগারেশনটি সরিয়ে ফেলুন এবং আপনার একমাত্র অথেন্টিকেশন ইনফ্রাস্ট্রাকচার হিসাবে ক্লাউড RADIUS-কে নির্ধারণ করুন। একটি পরিকল্পিত রক্ষণাবেক্ষণ উইন্ডো চলাকালীন এটি করুন এবং একটি রোলব্যাক পদ্ধতি নথিভুক্ত ও পরীক্ষা করে রাখুন। পঞ্চম পর্যায় হলো নিষ্ক্রিয় করা। কাটওভারের ত্রিশ দিন পর স্থিতিশীল অপারেশন যাচাই করার পর, NPS সার্ভারগুলি নিষ্ক্রিয় করুন এবং হার্ডওয়্যার বা ভার্চুয়াল মেশিন রিসোর্সগুলি পুনরুদ্ধার করুন। আমি যে ত্রুটিগুলি প্রায়শই দেখি সেগুলি হলো: সার্টিফিকেট ট্রাস্ট চেইন সমস্যা — বিশেষ করে, ক্লায়েন্ট ডিভাইসগুলি যা ক্লাউড RADIUS সার্ভারের সার্টিফিকেটকে বিশ্বাস করে না কারণ CA তাদের ট্রাস্টেড স্টোরে নেই। কাটওভারের আগে আপনার MDM বা Group Policy-র মাধ্যমে এটি সমাধান করুন। দ্বিতীয় সাধারণ ত্রুটি হলো ফায়ারওয়াল নিয়ম। ক্লাউড RADIUS-এর জন্য আপনার অ্যাক্সেস পয়েন্ট থেকে ক্লাউড এন্ডপয়েন্টে আউটবাউন্ড UDP ১৮১২ এবং ১৮১৩ প্রয়োজন, অথবা RadSec-এর জন্য TCP ২০৮৩ প্রয়োজন। আপনার নেটওয়ার্ক পেরিমিটার যাতে এই ট্রাফিকের অনুমতি দেয় তা নিশ্চিত করুন। তৃতীয়: শেয়ার্ড সিক্রেট জটিলতা। যদি আপনার বিদ্যমান NPS শেয়ার্ড সিক্রেটগুলি দুর্বল হয়, তবে মাইগ্রেশনের সুযোগটি ব্যবহার করে ক্রিপ্টোগ্রাফিকভাবে শক্তিশালী সিক্রেটে রোটেট করুন, অথবা আরও ভালো হয়, RadSec-এ চলে যান এবং শেয়ার্ড সিক্রেটগুলি সম্পূর্ণরূপে দূর করুন। --- SEGMENT 4: RAPID-FIRE Q&A এই বিষয়ে আমি প্রায়শই যে প্রশ্নগুলি পাই সেগুলি সংক্ষেপে দেখে নেওয়া যাক। আমরা কি Active Directory অন-প্রিমিসেস রাখতে পারি? হ্যাঁ, অবশ্যই। ক্লাউড RADIUS LDAPS-এর মাধ্যমে আপনার অন-প্রিমিসেস AD-র সাথে সংযোগ করে। আপনার ডিরেক্টরি যেখানে আছে সেখানেই থাকবে। আমাদের ইন্টারনেট সংযোগ বিচ্ছিন্ন হলে কী হবে? এটিই মূল নির্ভরতা পরিবর্তন। ক্লাউড RADIUS-এর সাথে, ইন্টারনেট সংযোগ অথেন্টিকেশনের জন্য একটি নির্ভরতা হয়ে ওঠে। রিডান্ডেন্ট WAN লিঙ্ক বা একটি স্থানীয় RADIUS প্রক্সির মাধ্যমে এটি প্রশমিত করুন যা বিভ্রাটের সময় পরিচিত ডিভাইসগুলির জন্য অথেন্টিকেশন ক্যাশ করে। এটি কি আমাদের PCI DSS কমপ্লায়েন্সকে প্রভাবিত করে? একটি প্রত্যয়িত ক্লাউড RADIUS প্রদানকারীতে স্থানান্তরিত হওয়া সাধারণত আপনার কমপ্লায়েন্স পোস্টারকে উন্নত করে। নিশ্চিত করুন যে আপনার প্রদানকারী SOC 2 Type II রিপোর্ট সরবরাহ করতে পারে এবং এটি আপনার বার্ষিক QSA মূল্যায়ন স্কোপের অন্তর্ভুক্ত। একটি সম্পূর্ণ মাইগ্রেশনে কত সময় লাগে? একটি একক সাইটের জন্য, দুই থেকে চার সপ্তাহ। পঞ্চাশ বা তার বেশি অবস্থানের একটি মাল্টি-সাইট এস্টেটের জন্য, পর্যায়ক্রমিক রোলআউট সহ তিন থেকে ছয় মাসের পরিকল্পনা করুন। --- SEGMENT 5: SUMMARY AND NEXT STEPS উপসংহারে: অন-প্রিমিসেস NPS থেকে RADIUS as a Service-এ মাইগ্রেট করার বিষয়টি অপারেশনাল, আর্থিক এবং কমপ্লায়েন্সের দিক থেকে অত্যন্ত জোরালো। একটি কাঠামোগত সমান্তরাল-চলমান পর্যায়ের সাথে সম্পাদিত হলে মাইগ্রেশন নিজেই কম ঝুঁকিপূর্ণ। মূল প্রযুক্তিগত সিদ্ধান্তগুলি হলো আপনার EAP পদ্ধতি নির্বাচন, আপনার আইডেন্টিটি ইন্টিগ্রেশন পদ্ধতি এবং ট্রান্সপোর্ট সিকিউরিটির জন্য RadSec বাস্তবায়ন করবেন কিনা — যা আমি যেকোনো নতুন ডিপ্লয়মেন্টের জন্য দৃঢ়ভাবে সুপারিশ করব। আপনার তাৎক্ষণিক পরবর্তী পদক্ষেপ: আপনার বর্তমান RADIUS ক্লায়েন্ট এবং পলিসিগুলির অডিট পরিচালনা করুন, একটি পাইলট এনভায়রনমেন্টের জন্য আপনার ক্লাউড RADIUS প্রদানকারীকে যুক্ত করুন এবং শুরু করার আগে আপনার ফায়ারওয়াল নিয়ম এবং সার্টিফিকেট ট্রাস্ট চেইনগুলি পর্যালোচনা করুন। যেসব সংস্থা Purple WiFi-এর গেস্ট অ্যাক্সেস প্ল্যাটফর্ম চালাচ্ছে, তাদের জন্য RADIUS as a Service ক্ষমতা সরাসরি গেস্ট WiFi অথেন্টিকেশন ফ্লোর সাথে সংহত হয়, যা আপনাকে কর্পোরেট 802.1X অথেন্টিকেশন এবং গেস্ট নেটওয়ার্ক অ্যাক্সেস ম্যানেজমেন্ট উভয়ের জন্য একটি একক কন্ট্রোল প্লেন প্রদান করে — যার সাথে অ্যানালিটিক্স এবং কমপ্লায়েন্স রিপোর্টিং বিল্ট-ইন থাকে। শোনার জন্য ধন্যবাদ। সম্পূর্ণ টেকনিক্যাল রেফারেন্স গাইডটি Purple ওয়েবসাইটে উপলব্ধ রয়েছে এবং আপনি যদি এগিয়ে যেতে প্রস্তুত হন তবে আমাদের সলিউশন টিম একটি স্কোপিং আলোচনার জন্য প্রস্তুত রয়েছে। --- END OF SCRIPT

header_image.png

এক্সিকিউটিভ সামারি

প্রায় দুই দশক ধরে, মাইক্রোসফটের নেটওয়ার্ক পলিসি সার্ভার (NPS) এন্টারপ্রাইজ নেটওয়ার্কের জন্য ডিফল্ট RADIUS বাস্তবায়ন হিসেবে কাজ করছে। তবে, ভেন্যু অপারেটররা যখন বিভিন্ন ডিস্ট্রিবিউটেড লোকেশনে—রিটেইল চেইন থেকে শুরু করে গ্লোবাল হসপিটালিটি গ্রুপ পর্যন্ত—তাদের কার্যক্রম প্রসারিত করছে, তখন অন-প্রিমিসেস অথেন্টিকেশন অবকাঠামো পরিচালনার অপারেশনাল বোঝা একটি বড় ঝুঁকিতে পরিণত হয়েছে।

RADIUS-কে একটি সার্ভিস (SaaS) হিসেবে স্থানান্তরিত করার মাধ্যমে অথেন্টিকেশন প্রক্রিয়াটি একটি ম্যানেজড হার্ডওয়্যার উপাদান থেকে ক্লাউড সার্ভিসে রূপান্তরিত হয়। এই আর্কিটেকচারাল পরিবর্তনটি স্ট্যান্ডঅ্যালোন NPS ডিপ্লয়মেন্টের অন্তর্নিহিত সিঙ্গেল পয়েন্ট অফ ফেইলিওর দূর করে, হার্ডওয়্যার রিফ্রেশ সাইকেলের প্রয়োজনীয়তা দূর করে এবং স্টেডিয়াম ও কনফারেন্স সেন্টারের মতো উচ্চ-ঘনত্বের পরিবেশের জন্য প্রয়োজনীয় ইলাস্টিক স্কেলেবিলিটি প্রদান করে। আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, এই গাইডটি প্রোডাকশন ট্রাফিকের উপর কোনো প্রভাব না ফেলে 802.1X অথেন্টিকেশনকে ক্লাউডে স্থানান্তরিত করার জন্য একটি ভেন্ডর-নিরপেক্ষ, কাঠামোগত পদ্ধতি প্রদান করে, যা PCI DSS এবং GDPR-এর সাথে সম্মতি নিশ্চিত করে এবং অথেন্টিকেশন অবকাঠামোর OpEx ৮০% পর্যন্ত হ্রাস করে।

টেকনিক্যাল ডিপ-ডাইভ: আর্কিটেকচার এবং স্ট্যান্ডার্ডস

মাইগ্রেশনটি বোঝার জন্য, আমাদের প্রথমে IEEE 802.1X পোর্ট-ভিত্তিক অ্যাক্সেস কন্ট্রোল কীভাবে সরবরাহ করা হয় তার আর্কিটেকচারাল পরিবর্তনটি পরীক্ষা করতে হবে।

অন-প্রিমিসেস NPS-এর সীমাবদ্ধতা

একটি ঐতিহ্যগত ডিপ্লয়মেন্টে, অ্যাক্সেস পয়েন্টগুলো নেটওয়ার্ক অ্যাক্সেস সার্ভার (NAS) হিসেবে কাজ করে, যা অন-প্রিমিসেস NPS সার্ভারে অথেন্টিকেশন অনুরোধগুলো পাঠায়। NPS সার্ভার সংযোগের অনুরোধের নীতিগুলো মূল্যায়ন করে, একটি আইডেন্টিটি স্টোরের (সাধারণত LDAP-এর মাধ্যমে অ্যাক্টিভ ডিরেক্টরি) বিপরীতে ক্রেডেনশিয়াল যাচাই করে এবং একটি Access-Accept বা Access-Reject বার্তা ফেরত পাঠায়।

এই মডেলটি আধুনিক নেটওয়ার্কের জন্য তিনটি জটিল সীমাবদ্ধতা তৈরি করে: ১. হার্ডওয়্যার নির্ভরতা ও রক্ষণাবেক্ষণ: NPS-এর জন্য ডেডিকেটেড ফিজিক্যাল বা ভার্চুয়াল মেশিনের প্রয়োজন হয়, যার জন্য ক্রমাগত প্যাচিং, ক্যাপাসিটি প্ল্যানিং এবং লাইফসাইকেল ম্যানেজমেন্টের প্রয়োজন হয়। ২. হাই অ্যাভেইলেবিলিটি জটিলতা: রিডান্ডেন্সি অর্জনের জন্য একটি ফেইলওভার পেয়ারে NPS ডিপ্লয় করতে হয়, যা প্রকৃত ভৌগোলিক রিডান্ডেন্সি প্রদান না করেই লাইসেন্সিং খরচ দ্বিগুণ করে। ৩. থ্রুপুট জটিলতা: পিক কনকারেন্সির সময়—যেমন স্টেডিয়ামে প্রবেশ বা রিটেইল পিক ট্রেডিং আওয়ারের সময়—একটি একক NPS ইনস্ট্যান্স একটি বাধা হয়ে দাঁড়াতে পারে, যার ফলে অথেন্টিকেশন টাইমআউট এবং ব্যবহারকারীর অভিজ্ঞতা ব্যাহত হতে পারে।

ক্লাউড RADIUS আর্কিটেকচার

RADIUS as a Service অথেন্টিকেশন লেয়ারকে আলাদা করে। ক্লাউড প্রদানকারীরা RADIUS সার্ভারের ডিস্ট্রিবিউটেড, জিও-রিডান্ডেন্ট ক্লাস্টার পরিচালনা করে। NAS এই ক্লাউড এন্ডপয়েন্টগুলোকে নির্দেশ করে এবং অনুরোধগুলো স্বয়ংক্রিয়ভাবে লোড-ব্যালেন্সড হয়।

architecture_comparison.png

ট্রান্সপোর্ট সিকিউরিটি: RadSec-এর ভূমিকা RADIUS-কে ক্লাউডে স্থানান্তর করার সময়, অথেন্টিকেশন ট্রাফিক পাবলিক ইন্টারনেটের মধ্য দিয়ে যায়। যদিও ঐতিহ্যগত RADIUS একটি শেয়ার্ড সিক্রেট এবং MD5 হ্যাশিং ব্যবহার করে, আধুনিক ডিপ্লয়মেন্টে অবশ্যই RadSec (RADIUS over TLS, RFC 6614) প্রয়োগ করতে হবে। RadSec সম্পূর্ণ RADIUS কথোপকথনকে একটি TLS টানেলে (সাধারণত TCP পোর্ট ২০৮৩) আবৃত করে, যা HTTPS-এর সমতুল্য ট্রান্সপোর্ট-লেয়ার এনক্রিপশন এবং NAS ও ক্লাউড RADIUS এন্ডপয়েন্টের মধ্যে পারস্পরিক অথেন্টিকেশন প্রদান করে।

আইডেন্টিটি ইন্টিগ্রেশন ক্লাউড RADIUS-এর জন্য আপনার ইউজার ডিরেক্টরি স্থানান্তরিত করার প্রয়োজন নেই। সার্ভিসগুলো সাধারণত অন-প্রিমিসেস অ্যাক্টিভ ডিরেক্টরিতে LDAPS সংযোগ বা SAML বা SCIM-এর মাধ্যমে Azure Active Directory (Entra ID)-এর সাথে নেটিভ API ইন্টিগ্রেশন সমর্থন করে। এটি নিশ্চিত করে যে আপনার বিদ্যমান ইউজার লাইফসাইকেল ম্যানেজমেন্ট প্রক্রিয়াগুলো অক্ষুণ্ণ থাকবে।

যেসব ভেন্যু Guest WiFi প্ল্যাটফর্ম ব্যবহার করে, তাদের জন্য ক্লাউড RADIUS সরাসরি ইন্টিগ্রেট হয়, যা কর্পোরেট 802.1X অথেন্টিকেশন এবং গেস্ট নেটওয়ার্ক অ্যাক্সেস উভয়ের জন্য একটি ইউনিফাইড কন্ট্রোল প্লেন প্রদান করে, যার সাথে উন্নত WiFi Analytics অন্তর্ভুক্ত রয়েছে।

ইমপ্লিমেন্টেশন গাইড: একটি ৫-ধাপের পদ্ধতি

ডাউনটাইম ছাড়া একটি মাইগ্রেশন সম্পন্ন করার জন্য একটি কাঠামোগত, পর্যায়ভিত্তিক পদ্ধতির প্রয়োজন।

migration_checklist.png

ধাপ ১: অডিট এবং ইনভেন্টরি

কোনো পরিবর্তন করার আগে, বর্তমান অবস্থা নথিভুক্ত করুন:

  • RADIUS ক্লায়েন্ট: প্রতিটি NAS (অ্যাক্সেস পয়েন্ট, সুইচ, VPN কনসেনট্রেটর) চিহ্নিত করুন।
  • পলিসি: VLAN অ্যাসাইনমেন্টের জন্য ব্যবহৃত ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউটস (VSAs) সহ বিদ্যমান NPS সংযোগের অনুরোধ এবং নেটওয়ার্ক নীতিগুলো নথিভুক্ত করুন।
  • EAP পদ্ধতি: কোন এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল পদ্ধতিগুলো ব্যবহার করা হচ্ছে তা চিহ্নিত করুন (যেমন, EAP-TLS, PEAP-MSCHAPv2)।

ধাপ ২: পাইলট ডিপ্লয়মেন্ট

ক্লাউড RADIUS ইনস্ট্যান্সটি প্রোভিশন করুন এবং একটি নন-প্রোডাকশন SSID বা একটি একক টেস্ট সাইট কনফিগার করুন। আইডেন্টিটি ডিরেক্টরি ইন্টিগ্রেশন (যেমন, Entra ID সিঙ্ক) যাচাই করুন এবং EAP পদ্ধতিটি এন্ড-টু-এন্ড কাজ করছে কিনা তা নিশ্চিত করুন।

ধাপ ৩: প্যারালাল রানিং (ঝুঁকি হ্রাস)

ক্লাউড RADIUS সার্ভার (প্রাইমারি) এবং লেগ্যাসি NPS সার্ভার (ফলব্যাক) উভয়ই ব্যবহার করার জন্য প্রোডাকশন NAS ডিভাইসগুলো কনফিগার করুন। এই কনফিগারেশনটি ন্যূনতম দুই সপ্তাহের জন্য চালান। কাটওভারের আগে কোনো পলিসির অমিল চিহ্নিত করতে অথেন্টিকেশন সফলতার হার, লেটেন্সি মেট্রিক্স এবং অ্যাকাউন্টিং ডেটা ফ্লো পর্যবেক্ষণ করুন।

ধাপ ৪: কাটওভার

একটি নির্ধারিত রক্ষণাবেক্ষণ উইন্ডোর সময়, NAS ডিভাইসগুলো থেকে লেগ্যাসি NPS ফলব্যাক কনফিগারেশনটি সরিয়ে ফেলুন। সম্পূর্ণভাবে ক্লাউড অবকাঠামোতে চলে যান। আপনার রোলব্যাক প্রক্রিয়াটি নথিভুক্ত এবং পরীক্ষিত হয়েছে কিনা তা নিশ্চিত করুন।

ধাপ ৫: ডিকমিশন

৩০ দিনের স্থিতিশীল অপারেশনের পর, লেগ্যাসি NPS সার্ভারগুলো নিরাপদে ডিকমিশন করুন এবং কম্পিউট রিসোর্সগুলো পুনরুদ্ধার করুন।

সেরা অনুশীলন এবং সম্মতি

আপনার ক্লাউড RADIUS আর্কিটেকচার ডিজাইন করার সময়, নিম্নলিখিত মানগুলো মেনে চলুন:

  • RadSec বাধ্যতামূলক করুন: আপনার NAS হার্ডওয়্যার দ্বারা RadSec (TCP ২০৮৩) সমর্থিত হলে স্ট্যান্ডার্ড UDP ১৮১২/১৮১৩ ব্যবহার করে পাবলিক ইন্টারনেটের মাধ্যমে কখনই RADIUS ট্রাফিক পাঠাবেন না।
  • সার্টিফিকেট ট্রাস্ট চেইন: ক্লায়েন্ট ডিভাইসগুলো যাতে সার্টিফিকেট ট্রাস্ট চেইনকে বিশ্বাস করে তা নিশ্চিত করুনificate Authority (CA) যা ক্লাউড RADIUS সার্ভারের সার্টিফিকেট ইস্যু করেছে। মাইগ্রেশনের আগে MDM বা Group Policy-এর মাধ্যমে ম্যানেজড ডিভাইসগুলোতে রুট CA পুশ করুন।
  • Compliance Posture: এমন একটি ক্লাউড RADIUS প্রোভাইডার বেছে নিন যা SOC 2 Type II সার্টিফিকেশন এবং ISO 27001 অ্যাক্রেডিটেশন বজায় রাখে। এটি আপনার বার্ষিক PCI DSS অ্যাসেসমেন্টকে উল্লেখযোগ্যভাবে সহজ করে তোলে, বিশেষ করে Retail এবং Hospitality পরিবেশের জন্য।

আরও ব্যাপক নেটওয়ার্ক ডিজাইন প্রিন্সিপালের জন্য, আমাদের এই গাইডগুলো দেখতে পারেন: Setting Up WiFi for Business: A 2026 Playbook এবং Understanding RSSI and Signal Strength for Optimal Channel Planning

Troubleshooting & Risk Mitigation

Failure Mode Root Cause Mitigation Strategy
Authentication Timeouts ফায়ারওয়াল আউটবাউন্ড UDP 1812/1813 বা TCP 2083 ব্লক করছে। ক্লাউড RADIUS প্রোভাইডারের নির্দিষ্ট IP রেঞ্জে আউটবাউন্ড ট্রাফিক পারমিট করার জন্য পেরিমিটার ফায়ারওয়াল রুলস যাচাই করুন।
Certificate Trust Errors ক্লায়েন্ট ডিভাইসের ট্রাস্টেড স্টোরে রুট CA নেই। Phase 3 (Parallel Running)-এর আগে MDM/GPO-এর মাধ্যমে রুট CA ডেপ্লয় করুন।
VLAN Assignment Fails ক্লাউড পলিসিতে Vendor-Specific Attributes (VSAs) সঠিকভাবে ম্যাপ করা হয়নি। Phase 1 চলাকালীন NPS থেকে ক্লাউড RADIUS পলিসি ইঞ্জিনে হুবহু VSA স্ট্রিং ফরম্যাট রেপ্লিকেট করুন।
WAN Outage Impact ইন্টারনেট সংযোগ বিচ্ছিন্ন হওয়ায় ক্লাউড RADIUS-এর অ্যাক্সেস চলে গেছে। রিডান্ড্যান্ট WAN লিঙ্ক ডেপ্লয় করুন অথবা একটি লোকাল RADIUS প্রক্সি ইমপ্লিমেন্ট করুন যা পরিচিত ডিভাইসগুলোর জন্য ক্রেডেনশিয়াল ক্যাশ করে রাখে।

ROI & Business Impact

RADIUS as a Service-এ মাইগ্রেট করার ফলে পরিমাপযোগ্য ব্যবসায়িক ফলাফল পাওয়া যায়:

  • Cost Reduction: এটি হার্ডওয়্যার কেনা, Windows Server লাইসেন্সিং এবং প্যাচিং ও মেইনটেন্যান্সে ব্যয় হওয়া ইঞ্জিনিয়ারিং আওয়ার দূর করে। সাধারণত OpEx হ্রাস পায় ৬০-৮০%।
  • Reliability SLA: ক্লাউড প্রোভাইডাররা আর্থিকভাবে সমর্থিত ৯৯.৯৯% আপটাইম SLA অফার করে, যেখানে সিঙ্গেল-সাইট NPS ডেপ্লয়মেন্টে সাধারণত ৯৭-৯৮% আপটাইম পাওয়া যায়।
  • Agility: লোকাল অথেন্টিকেশন হার্ডওয়্যার প্রোভিশন না করেই নতুন সাইটগুলো তাৎক্ষণিকভাবে অনলাইনে আনা যায়, যা Transport হাব এবং Healthcare ফ্যাসিলিটিগুলোর জন্য ডেপ্লয়মেন্টের সময়সীমা দ্রুততর করে।

এই ১০ মিনিটের ব্রিফিংয়ে আমাদের সিনিয়র কনসাল্টিং টিমের স্ট্র্যাটেজিক আলোচনাটি শুনুন:

মূল সংজ্ঞাসমূহ

RADIUS (Remote Authentication Dial-In User Service)

একটি নেটওয়ার্কিং প্রোটোকল যা একটি নেটওয়ার্ক পরিষেবা সংযোগ এবং ব্যবহারকারী ব্যবহারকারীদের জন্য সেন্ট্রালাইজড Authentication, Authorization, এবং Accounting (AAA) ম্যানেজমেন্ট প্রদান করে।

নেটওয়ার্ক অ্যাক্সেস দেওয়ার আগে ব্যবহারকারীর ক্রেডেনশিয়াল যাচাই করতে এন্টারপ্রাইজ WiFi নেটওয়ার্ক দ্বারা ব্যবহৃত মূল প্রোটোকল।

NPS (Network Policy Server)

একটি RADIUS সার্ভার এবং প্রক্সি হিসেবে Microsoft-এর বাস্তবায়ন, যা Windows Server-এ একটি রোল হিসেবে বান্ডেল করা থাকে।

রক্ষণাবেক্ষণের ওভারহেড কমাতে সংস্থাগুলি সক্রিয়ভাবে যে লেগ্যাসি অন-প্রিমিসেস ইনফ্রাস্ট্রাকচার থেকে মাইগ্রেট করছে।

NAS (Network Access Server)

এমন একটি ডিভাইস যা নেটওয়ার্কের গেটওয়ে হিসেবে কাজ করে এবং RADIUS সার্ভারে অথেন্টিকেশন অনুরোধ পাঠায়।

ওয়্যারলেস প্রসঙ্গে, NAS সাধারণত WiFi অ্যাক্সেস পয়েন্ট বা ওয়্যারলেস LAN কন্ট্রোলার হয়।

RadSec (RADIUS over TLS)

RFC 6614-এ সংজ্ঞায়িত একটি প্রোটোকল যা TLS দ্বারা এনক্রিপ্ট করা একটি TCP সংযোগের মাধ্যমে RADIUS প্যাকেটগুলি পরিবহন করে।

পাবলিক ইন্টারনেটের মাধ্যমে যাতায়াতের সময় ক্রেডেনশিয়াল ডেটা এনক্রিপ্ট করা নিশ্চিত করতে ক্লাউড RADIUS স্থাপনের জন্য অপরিহার্য।

EAP (Extensible Authentication Protocol)

একটি অথেন্টিকেশন ফ্রেমওয়ার্ক যা প্রায়শই ওয়্যারলেস নেটওয়ার্ক এবং পয়েন্ট-টু-পয়েন্ট সংযোগে ব্যবহৃত হয়।

ক্লায়েন্ট এবং সার্ভার কীভাবে নিরাপদে ক্রেডেনশিয়াল বিনিময় করে তা নির্ধারণ করে (যেমন, EAP-TLS-এর মাধ্যমে সার্টিফিকেট, বা PEAP-এর মাধ্যমে পাসওয়ার্ড)।

VSA (Vendor-Specific Attribute)

প্রোপাইটরি ফিচার সমর্থন করার জন্য RADIUS প্রোটোকলের মধ্যে হার্ডওয়্যার ভেন্ডরদের দ্বারা সংজ্ঞায়িত কাস্টম অ্যাট্রিবিউট।

মাইগ্রেশনের সময় অত্যন্ত গুরুত্বপূর্ণ; ডায়নামিকভাবে নির্দিষ্ট নেটওয়ার্ক VLAN-এ অথেন্টিকেটেড ব্যবহারকারীদের বরাদ্দ করতে প্রায়শই VSA ব্যবহার করা হয়।

LDAPS (Lightweight Directory Access Protocol over SSL)

Active Directory-র মতো ডিরেক্টরি পরিষেবাগুলি কোয়েরি এবং সংশোধন করার জন্য একটি সুরক্ষিত প্রোটোকল।

ব্যবহারকারীর ডিরেক্টরি ক্লাউডে মাইগ্রেট না করেই অন-প্রিমিসেস আইডেন্টিটি স্টোরগুলি নিরাপদে কোয়েরি করতে ক্লাউড RADIUS পরিষেবাগুলি দ্বারা ব্যবহৃত হয়।

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল (PNAC)-এর জন্য একটি IEEE স্ট্যান্ডার্ড।

অন্তর্নিহিত স্ট্যান্ডার্ড যা শুধুমাত্র অথেন্টিকেটেড ডিভাইসগুলি যাতে এন্টারপ্রাইজ LAN বা WLAN-এ ট্রাফিক পাঠাতে পারে তা নিশ্চিত করতে RADIUS ব্যবহার করে।

সমাধানকৃত উদাহরণসমূহ

একটি ২০০টি প্রোপার্টির হোটেল গ্রুপ বর্তমানে কর্মীদের 802.1X অথেন্টিকেশনের জন্য প্রতিটি সাইটে স্থানীয় NPS সার্ভার চালাচ্ছে। তারা Entra ID (Azure AD)-তে মাইগ্রেট করছে এবং স্থানীয় সার্ভারগুলি নিষ্ক্রিয় করতে চায়। তাদের মাইগ্রেশনের পদ্ধতি কেমন হওয়া উচিত?

১. একটি ক্লাউড RADIUS পরিষেবা স্থাপন করুন যা SAML/SCIM-এর মাধ্যমে Entra ID-এর সাথে নেটিভভাবে সংহত হয়। ২. Entra ID গ্রুপগুলিকে (যেমন, 'Front Desk', 'Management') নির্দিষ্ট VLAN VSA-তে ম্যাপ করতে ক্লাউড RADIUS পলিসিগুলি কনফিগার করুন। ৩. একটি পাইলট প্রোপার্টিতে, ক্লাউড RADIUS এন্ডপয়েন্টের সাথে সংযোগ করতে RadSec ব্যবহার করার জন্য অ্যাক্সেস পয়েন্টগুলি কনফিগার করুন। ৪. Microsoft Intune-এর মাধ্যমে সমস্ত কর্মী ডিভাইসে ক্লাউড RADIUS সার্ভারের Root CA পুশ করুন। ৫. পাইলট সাইটে সমান্তরাল অথেন্টিকেশন চালান, তারপর বাকি ১৯৯টি প্রোপার্টি জুড়ে পর্যায়ক্রমে রোলআউট সম্পন্ন করুন।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি এস্টেট থেকে ২০০টি ফিজিক্যাল/ভার্চুয়াল সার্ভার সরিয়ে দেয়, যা অ্যাটাক সারফেস এবং রক্ষণাবেক্ষণের ওভারহেড মারাত্মকভাবে হ্রাস করে। সরাসরি Entra ID-এর সাথে সংহত করার ফলে একটি সেন্ট্রাল Active Directory-তে ফিরে যাওয়ার জন্য জটিল সাইট-টু-সাইট VPN-এর প্রয়োজনীয়তা দূর হয়।

৫০,০০০ ধারণক্ষমতার একটি স্টেডিয়ামে বড় ইভেন্ট চলাকালীন তাদের কর্পোরেট SSID-এ অথেন্টিকেশন ব্যর্থতার সম্মুখীন হতে হয় কারণ তাদের অন-প্রিমিসেস NPS সার্ভার একসাথে হাজার হাজার ডিভাইসের রোমিংয়ের থ্রুপুট পরিচালনা করতে পারে না।

১. বিদ্যমান NPS পলিসি এবং EAP পদ্ধতিগুলি অডিট করুন। ২. প্রতি সেকেন্ডে উচ্চ অথেন্টিকেশন (APS) পরিচালনা করতে অটো-স্কেলিং করতে সক্ষম একটি ক্লাউড RADIUS পরিষেবা প্রস্তুত করুন। ৩. ক্লাউড RADIUS পরিষেবা থেকে স্টেডিয়ামের অন-প্রিমিসেস Active Directory-তে একটি LDAPS সংযোগ স্থাপন করুন। ৪. স্টেডিয়ামের হাই-ডেনসিটি ওয়্যারলেস LAN কন্ট্রোলারগুলিকে প্রাথমিক অথেন্টিকেশন সার্ভার হিসাবে ক্লাউড RADIUS এন্ডপয়েন্টগুলিকে নির্দেশ করতে আপডেট করুন।

পরীক্ষকের মন্তব্য: RADIUS প্রসেসিং একটি ক্লাউড ক্লাস্টারে অফলোড করার মাধ্যমে, স্টেডিয়ামটি ইলাস্টিক কম্পিউট রিসোর্স ব্যবহার করে যা ইভেন্ট প্রবেশের সময় ডায়নামিকভাবে স্কেল করে, ভেন্যুতে ব্যয়বহুল স্থানীয় হার্ডওয়্যার অতিরিক্ত বরাদ্দ করার প্রয়োজন ছাড়াই এই বাধা দূর করে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার সংস্থা Cloud RADIUS-এ মাইগ্রেট করছে। সিকিউরিটি টিম নির্দেশ দিয়েছে যে ইন্টারনেটের মাধ্যমে কোনো অথেন্টিকেশন ট্রাফিক ক্লিয়ারটেক্সটে বা MD5-এর মতো অবমূল্যায়িত হ্যাশিং অ্যালগরিদম ব্যবহার করে পাঠানো যাবে না। আপনার ওয়্যারলেস LAN কন্ট্রোলারে কোন প্রোটোকল কনফিগার করতে হবে?

ইঙ্গিত: এমন প্রোটোকলটি খুঁজুন যা RADIUS-কে একটি TLS টানেলে আবৃত করে।

মডেল উত্তর দেখুন

আপনাকে RadSec (RADIUS over TLS) কনফিগার করতে হবে। RadSec NAS এবং ক্লাউড RADIUS সার্ভারের মধ্যে TCP পোর্ট ২০৮৩-এর উপর একটি TLS টানেল স্থাপন করে, যা ট্রান্সপোর্ট-লেয়ার এনক্রিপশন এবং মিউচুয়াল অথেন্টিকেশন প্রদান করে সিকিউরিটি টিমের প্রয়োজনীয়তা পূরণ করে।

Q2. আপনার মাইগ্রেশনের ৩য় ফেজ (সমান্তরালভাবে চালানো) চলাকালীন, আপনি লক্ষ্য করেছেন যে ব্যবহারকারীরা ক্লাউড RADIUS সার্ভারের বিপরীতে সফলভাবে অথেন্টিকেট করছেন, কিন্তু তাদের সঠিক নেটওয়ার্ক সেগমেন্টে রাখা হচ্ছে না। সবচেয়ে সম্ভাব্য কনফিগারেশন ঘাটতি কোনটি?

ইঙ্গিত: একটি RADIUS সার্ভার কীভাবে একটি অ্যাক্সেস পয়েন্টকে কোন নেটওয়ার্ক সেগমেন্ট ব্যবহার করতে হবে তা জানায়?

মডেল উত্তর দেখুন

ডায়নামিক VLAN অ্যাসাইনমেন্টের জন্য Vendor-Specific Attributes (VSAs) ক্লাউড RADIUS পলিসিতে সঠিকভাবে কনফিগার করা হয়নি। আপনাকে নিশ্চিত করতে হবে যে লেগ্যাসি NPS সার্ভারে ব্যবহৃত হুবহু একই VSA স্ট্রিংগুলি ক্লাউড এনভায়রনমেন্টে রেপ্লিকেট করা হয়েছে যাতে NAS জানতে পারে ব্যবহারকারীকে কোন VLAN বরাদ্দ করতে হবে।

Q3. একটি ক্লায়েন্ট ডিভাইস নতুন ক্লাউড RADIUS পরিষেবার বিপরীতে বারবার EAP-TLS অথেন্টিকেশনে ব্যর্থ হচ্ছে, কিন্তু এটি লেগ্যাসি NPS সার্ভারের বিপরীতে ঠিকঠাক কাজ করছে। ডিভাইস লগগুলি একটি 'untrusted server' ত্রুটি দেখাচ্ছে। আপনি কীভাবে এটি সমাধান করবেন?

ইঙ্গিত: EAP-TLS-এর জন্য ক্লায়েন্টকে সার্ভারের আইডেন্টিটি বিশ্বাস করতে হবে।

মডেল উত্তর দেখুন

ক্লায়েন্ট ডিভাইসের ট্রাস্টেড রুট স্টোরে ক্লাউড RADIUS সার্ভারের সার্টিফিকেট ইস্যুকারী Root Certificate Authority (CA) নেই। আপনাকে একটি Mobile Device Management (MDM) সলিউশন বা Group Policy ব্যবহার করে ক্লায়েন্ট ডিভাইসে Root CA স্থাপন করতে হবে।

এই সিরিজে পড়া চালিয়ে যান

হাইব্রিড ওয়ার্কফোর্সের জন্য RADIUS as a Service-এর সুরক্ষামূলক সুবিধাসমূহ

এই টেকনিক্যাল রেফারেন্স গাইডে ব্যাখ্যা করা হয়েছে কীভাবে RADIUS as a Service বিভিন্ন স্থানে ছড়িয়ে থাকা হাইব্রিড ওয়ার্কফোর্সের জন্য নেটওয়ার্ক অ্যাক্সেস সুরক্ষিত করে। এটি অন-প্রিমিস RADIUS পরিকাঠামোকে একটি ক্লাউড-পরিচালিত প্রমাণীকরণ (authentication) পরিষেবা দ্বারা প্রতিস্থাপন করার আর্কিটেকচার, সুরক্ষামূলক সুবিধাসমূহ এবং ডেপ্লয়মেন্টের পদক্ষেপগুলি কভার করে। হোটেল, রিটেইল চেইন, স্টেডিয়াম এবং সরকারি খাতের সংস্থাগুলির আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, এই গাইডটি এই ত্রৈমাসিকে একটি ক্লাউড RADIUS মাইগ্রেশনের মূল্যায়ন এবং পদক্ষেপ নেওয়ার জন্য প্রয়োজনীয় প্রমাণ সরবরাহ করে।

গাইডটি পড়ুন →

Cloud Directories (Azure AD এবং Google Workspace)-এর সাথে RADIUS-কে একটি সার্ভিস হিসেবে ইন্টিগ্রেট করা

এই টেকনিক্যাল রেফারেন্স গাইডে এন্টারপ্রাইজ WiFi অথেনটিকেশনের জন্য ক্লাউড ডিরেক্টরি - Microsoft Entra ID এবং Google Workspace-এর সাথে RADIUS-কে একটি সার্ভিস হিসেবে কীভাবে ইন্টিগ্রেট করতে হয় তা বিস্তারিতভাবে ব্যাখ্যা করা হয়েছে। এতে অন-প্রেমিস NPS থেকে ক্লাউড-নেটিভ RADIUS-এ আর্কিটেকচারাল পরিবর্তন, সার্টিফিকেট-ভিত্তিক EAP-TLS অথেনটিকেশন ডেপ্লয়মেন্ট এবং হসপিটালিটি, রিটেইল ও পাবলিক-সেক্টর এনভায়রনমেন্ট জুড়ে ওয়্যারলেস অ্যাক্সেস সুরক্ষিত করার জন্য অপারেশনাল বেস্ট প্র্যাকটিসগুলো কভার করা হয়েছে। যেসকল IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্ট ইতিমধ্যেই ক্লাউড আইডেন্টিটিতে ইনভেস্ট করেছেন, এই গাইডটি তাদের ডিরেক্টরি ম্যানেজমেন্ট এবং ফিজিক্যাল নেটওয়ার্ক সিকিউরিটির মধ্যকার ব্যবধান দূর করতে সাহায্য করবে।

গাইডটি পড়ুন →

কীভাবে Cloud RADIUS-এর সাথে 802.1X প্রমাণীকরণ বাস্তবায়ন করবেন

এই প্রযুক্তিগত রেফারেন্স গাইডটি বিতরণ করা এন্টারপ্রাইজ এস্টেট জুড়ে Cloud RADIUS-এর সাথে 802.1X প্রমাণীকরণ বাস্তবায়নের জন্য একটি ব্যাপক কাঠামো প্রদান করে। এটি অন-প্রিমিসেস অবকাঠামোর কার্যক্ষম ওভারহেড দূর করার পাশাপাশি নেটওয়ার্ক অ্যাক্সেস সুরক্ষিত করার জন্য প্রয়োজনীয় আর্কিটেকচার, EAP পদ্ধতি নির্বাচন, স্থাপনার অনুক্রম এবং ঝুঁকি প্রশমন কৌশলগুলির বিশদ বিবরণ দেয়।

গাইডটি পড়ুন →