মূল কন্টেন্টে যান

On-Premises RADIUS (NPS) থেকে RADIUS-as-a-Service-এ মাইগ্রেশন

এই নির্ভরযোগ্য নির্দেশিকাটি অন-প্রিমিসেস Microsoft Network Policy Server (NPS) থেকে ক্লাউড-নেটিভ RADIUS-as-a-Service মডেলে মাইগ্রেট করার প্রযুক্তিগত আর্কিটেকচার, বাস্তবায়ন পদ্ধতি এবং ব্যবসায়িক প্রভাব বিস্তারিতভাবে বর্ণনা করে। এটি আইটি লিডার এবং নেটওয়ার্ক আর্কিটেক্টদের কর্মক্ষম ওভারহেড কমাতে, একক ব্যর্থতার বিন্দু দূর করতে এবং বিভিন্ন অবস্থানে এন্টারপ্রাইজ প্রমাণীকরণ সুরক্ষিত করতে ব্যবহারিক ফ্রেমওয়ার্ক প্রদান করে।

📖 5 মিনিট পাঠ📝 1,066 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
পডকাস্ট স্ক্রিপ্ট: অন-প্রিমিসেস RADIUS (NPS) থেকে RADIUS-as-a-Service-এ মাইগ্রেশন সময়সীমা: ~১০ মিনিট | ভয়েস: ইউকে ইংলিশ, পুরুষ, সিনিয়র কনসালট্যান্ট টোন --- সেগমেন্ট ১: ভূমিকা এবং প্রেক্ষাপট Purple WiFi টেকনিক্যাল ব্রিফিং সিরিজে আপনাকে স্বাগত জানাই। আজ আমরা এমন একটি মাইগ্রেশন নিয়ে আলোচনা করছি যা বর্তমানে উল্লেখযোগ্য সংখ্যক এন্টারপ্রাইজ আইটি টিমের রোডম্যাপে রয়েছে: অন-প্রিমিসেস RADIUS - বিশেষ করে Microsoft-এর Network Policy Server - থেকে একটি ক্লাউড-হোস্টেড RADIUS-as-a-Service মডেলে স্থানান্তরিত হওয়া। আপনি যদি কোনো হোটেল গ্রুপ, রিটেল এস্টেট, স্টেডিয়াম বা পাবলিক-সেক্টর ক্যাম্পাস জুড়ে WiFi অথেনটিকেশন পরিচালনা করেন, তবে এটি সরাসরি আপনার সাথে প্রাসঙ্গিক। অন-প্রিমিসেস NPS মডেলটি বিগত প্রায় দুই দশক ধরে আমাদের ভালো সেবা দিয়েছে, কিন্তু অপারেশনাল ওভারহেড, সিঙ্গেল-পয়েন্ট-অফ-ফেইলিওর ঝুঁকি এবং স্কেলিংয়ের সীমাবদ্ধতাগুলোর যৌক্তিকতা প্রমাণ করা ক্রমশ কঠিন হয়ে উঠছে - বিশেষ করে যখন ক্লাউড-নেটিভ বিকল্পগুলো এখন মালিকানার মোট খরচের একটি সামান্য অংশে এন্টারপ্রাইজ-গ্রেড নির্ভরযোগ্যতা অফার করছে। পরবর্তী দশ মিনিটে, আমরা উভয় পদ্ধতির টেকনিক্যাল আর্কিটেকচার কভার করব, একটি স্ট্রাকচার্ড মাইগ্রেশন মেথডোলজির মাধ্যমে এগিয়ে যাব, দুটি বাস্তব-ক্ষেত্রের ইমপ্লিমেন্টেশন সিনারিও দেখব এবং এই সিদ্ধান্তটি আত্মবিশ্বাসের সাথে নেওয়ার জন্য আপনার প্রয়োজনীয় মূল ডিসিশন ফ্রেমওয়ার্কগুলো দিয়ে শেষ করব। চলুন শুরু করা যাক। --- সেগমেন্ট ২: টেকনিক্যাল ডিপ-ডাইভ প্রথমে, আপনার নেটওয়ার্ক স্ট্যাকে RADIUS আসলে কী কাজ করে সে সম্পর্কে আমরা একই পৃষ্ঠায় আছি কিনা তা নিশ্চিত করে নেওয়া যাক। RADIUS - রিমোট অথেনটিকেশন ডায়াল-ইন ইউজার সার্ভিস - হলো RFC 2865-এ সংজ্ঞায়িত প্রোটোকল যা নেটওয়ার্ক অ্যাক্সেসের জন্য অথেনটিকেশন, অথোরাইজেশন এবং অ্যাকাউন্টিং পরিচালনা করে। একটি WiFi প্রেক্ষাপটে, এটি IEEE 802.1X পোর্ট-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণের মূল ভিত্তি। যখন একটি ডিভাইস WPA2-Enterprise বা WPA3-Enterprise SSID-এর সাথে সংযোগ স্থাপন করে, তখন অ্যাক্সেস পয়েন্টটি একটি RADIUS ক্লায়েন্ট - যাকে আমরা নেটওয়ার্ক অ্যাক্সেস সার্ভার বলি - হিসেবে কাজ করে এবং অথেনটিকেশন অনুরোধটি RADIUS সার্ভারে ফরোয়ার্ড করে। সার্ভারটি সাধারণত Active Directory বা একটি LDAP ডিরেক্টরির বিপরীতে ক্রেডেনশিয়ালগুলো যাচাই করে এবং একটি Access-Accept বা Access-Reject প্রতিক্রিয়া প্রদান করে। এটিই হলো মূল প্রবাহ। এখন, অন-প্রিমিসেস NPS মডেলে - Network Policy Server হলো Windows Server-এর সাথে বান্ডেল করা Microsoft-এর RADIUS ইমপ্লিমেন্টেশন - আপনি সেই অথেনটিকেশন লজিকটি আপনার নিজের হার্ডওয়্যারে চালাচ্ছেন, যা আপনার রক্ষণাবেক্ষণ করা একটি ডেটা সেন্টার বা সার্ভার রুমে থাকে। NPS সার্ভারটি আপনার নেটওয়ার্ক পলিসি, EAP-TLS বা PEAP-MSCHAPv2-এর জন্য আপনার সার্টিফিকেট ইনফ্রাস্ট্রাকচার এবং আপনার কানেকশন রিকোয়েস্ট পলিসিগুলো ধারণ করে। এটি কাজ করে। এটি পরিপক্ক। কিন্তু এটি এমন কিছু অপারেশনাল বাস্তবতার সাথে আসে যা সময়ের সাথে সাথে জটিল হয়ে ওঠে। প্রথমটি হলো হার্ডওয়্যারের ওপর নির্ভরশীলতা। আপনার NPS সার্ভার হলো একটি ফিজিক্যাল বা ভার্চুয়াল মেশিন যার জন্য প্যাচিং, ক্যাপাসিটি প্ল্যানিং এবং শেষ পর্যন্ত হার্ডওয়্যার রিফ্রেশ প্রয়োজন। একটি মাল্টি-সাইট ডিপ্লয়মেন্টে - ধরা যাক, পুরো ইউকে জুড়ে প্রপার্টি থাকা একটি হোটেল গ্রুপ - আপনি হয় WAN নির্ভরশীলতার সাথে একটি সেন্ট্রালাইজড NPS চালাচ্ছেন, অথবা আপনি প্রতিটি সাইটে NPS ইনস্ট্যান্স ডিপ্লয় করছেন এবং সেগুলো আলাদাভাবে পরিচালনা করছেন। এর কোনোটিই নিখুঁত নয়। দ্বিতীয়টি হলো নির্ভরযোগ্যতা (availability)। একটি একক NPS ইনস্ট্যান্স আপনার সম্পূর্ণ প্রমাণীকরণ (authentication) অবকাঠামোর জন্য একটি সিঙ্গেল পয়েন্ট অব ফেইলিউর (single point of failure)। হ্যাঁ, আপনি একটি ফেইলওভার পেয়ারে NPS স্থাপন করতে পারেন, তবে এটি আপনার হার্ডওয়্যার এবং লাইসেন্সিং খরচ দ্বিগুণ করে, এবং তবুও এটি আপনাকে সেই ভৌগোলিক রিডান্ডেন্সি প্রদান করে না যা একটি ক্লাউড পরিষেবা নেটিভভাবে প্রদান করে। তৃতীয়টি হলো স্কেলেবিলিটি (scalability)। NPS ডিজাইন করা হয়েছিল কর্পোরেট LAN পরিবেশের জন্য। আপনি যখন একটি স্টেডিয়ামের ইভেন্ট বা একটি কনফারেন্স সেন্টারের পিক আওয়ারে হাজার হাজার সমসাময়িক প্রমাণীকরণ অনুরোধ পরিচালনা করছেন, তখন একটি একক NPS ইনস্ট্যান্সের থ্রুপুট সীমাবদ্ধতা খুব স্পষ্ট হয়ে ওঠে। প্রমাণীকরণ লেটেন্সি বৃদ্ধি পায় এবং ব্যবহারকারীরা ঠিক সেই মুহূর্তেই সংযোগ ব্যর্থতার সম্মুখীন হন যখন আপনি এটি একেবারেই সহ্য করতে পারেন না। RADIUS-as-a-Service কাঠামোগতভাবে এই তিনটি সীমাবদ্ধতারই সমাধান করে। ক্লাউড RADIUS প্রদানকারী RADIUS সার্ভারের একটি ডিস্ট্রিবিউটেড, জিও-রিডান্ডেন্ট ক্লাস্টার পরিচালনা করে। আপনার অ্যাক্সেস পয়েন্টগুলো কোনো অন-প্রেমিসেস সার্ভারের পরিবর্তে ক্লাউড-হোস্টেড RADIUS এন্ডপয়েন্টের দিকে নির্দেশ করে। প্রমাণীকরণ অনুরোধগুলো ক্লাস্টার জুড়ে লোড-ব্যালেন্স করা হয় এবং ফেইলওভার স্বয়ংক্রিয় ও স্বচ্ছ হয়। প্রদানকারী প্যাচিং, ক্যাপাসিটি স্কেলিং এবং সার্টিফিকেট ম্যানেজমেন্ট পরিচালনা করে। নেটওয়ার্ক অপারেটর হিসেবে আপনার দৃষ্টিকোণ থেকে, RADIUS একটি পরিচালিত উপাদানের পরিবর্তে একটি ব্যবহৃত পরিষেবাতে (consumed service) পরিণত হয়। প্রমাণীকরণ প্রোটোকলগুলো নিজেদের পরিবর্তন করে না। আপনি আপনার ক্লায়েন্ট ডিভাইসের মিশ্রণের উপর ভিত্তি করে এখনও EAP-TLS, PEAP-MSCHAPv2, বা EAP-TTLS সহ 802.1X চালাচ্ছেন। পার্থক্যটি হলো RADIUS সার্ভারটি কোথায় থাকে এবং এর অপারেশনাল ধারাবাহিকতার জন্য কে দায়ী। এখানে একটি গুরুত্বপূর্ণ নিরাপত্তা বিবেচনা রয়েছে যা আমি সরাসরি উল্লেখ করতে চাই, কারণ এটি প্রায় প্রতিটি ক্লায়েন্ট আলোচনায় উঠে আসে। RADIUS ক্লাউডে স্থানান্তর করার অর্থ হলো আপনার প্রমাণীকরণ ট্রাফিক ক্লাউড RADIUS এন্ডপয়েন্টে পৌঁছানোর জন্য পাবলিক ইন্টারনেট অতিক্রম করছে। এটি দুটি প্রক্রিয়ার মাধ্যমে প্রশমিত করা হয়। প্রথমত, নেটওয়ার্ক অ্যাক্সেস সার্ভার এবং RADIUS সার্ভারের মধ্যকার RADIUS ট্রাফিক একটি শেয়ার্ড সিক্রেট এবং MD5-ভিত্তিক মেসেজ প্রমাণীকরণ ব্যবহার করে সুরক্ষিত থাকে। দ্বিতীয়ত, এবং আধুনিক স্থাপনার জন্য আরও গুরুত্বপূর্ণভাবে, আপনার RadSec চালানো উচিত - TLS এর ওপর RADIUS, যা RFC 6614-এ সংজ্ঞায়িত - যা সম্পূর্ণ RADIUS কথোপকথনকে একটি TLS টানেলে মোড়ানো থাকে। এটি আপনাকে HTTPS-এর সমতুল্য ট্রান্সপোর্ট-লেয়ার এনক্রিপশন দেয়, MD5 দুর্বলতা দূর করে এবং NAS ও RADIUS সার্ভারের মধ্যে পারস্পরিক প্রমাণীকরণ প্রদান করে। বিবেচনার যোগ্য যেকোনো ক্লাউড RADIUS প্রদানকারীর স্ট্যান্ডার্ড হিসেবে RadSec সমর্থন করা উচিত। আইডেন্টিটি ইন্টিগ্রেশনের ক্ষেত্রে, ক্লাউড RADIUS পরিষেবাগুলো সাধারণত আপনার অন-প্রেমিসেস অ্যাক্টিভ ডিরেক্টরিতে LDAP এবং LDAPS সংযোগ, অথবা SAML বা SCIM-এর মাধ্যমে Azure Active Directory এবং Microsoft Entra ID-এর সাথে নেটিভ ইন্টিগ্রেশন সমর্থন করে। এর অর্থ হলো আপনার ব্যবহারকারী ডিরেক্টরি স্থানান্তরিত করার প্রয়োজন নেই - ক্লাউড RADIUS পরিষেবা আপনার বিদ্যমান আইডেন্টিটি স্টোরকে কোয়েরি করে, আপনার বিদ্যমান ব্যবহারকারী লাইফসাইকেল ম্যানেজমেন্ট প্রক্রিয়াগুলো বজায় রাখে। কমপ্লায়েন্স সম্পর্কে সচেতন সংস্থাগুলির জন্য - এবং এর মধ্যে এমন যে কেউ অন্তর্ভুক্ত যারা PCI-DSS-এর অধীনে পেমেন্ট কার্ড ডেটা বা GDPR-এর অধীনে ব্যক্তিগত ডেটা পরিচালনা করেন - ক্লাউড RADIUS প্রদানকারী যেগুলি SOC 2 Type II সার্টিফাইড এবং ISO 27001 স্বীকৃত, তারা স্ব-পরিচালিত NPS পরিকাঠামোর চেয়ে অনেক শক্তিশালী কমপ্লায়েন্স কাঠামো প্রদান করে। --- সেগমেন্ট ৩: বাস্তবায়নের সুপারিশ এবং সম্ভাব্য সমস্যাসমূহ ঠিক আছে, আসুন কথা বলি কীভাবে আপনি আপনার প্রমাণীকরণ (authentication) পরিকাঠামো অফলাইনে না নিয়ে এই মাইগ্রেশনটি আসলে সম্পাদন করবেন। আমি যে পদ্ধতির সুপারিশ করি তা হলো একটি পাঁচ-ধাপের প্রক্রিয়া। প্রথম ধাপ হলো অডিট এবং ইনভেন্টরি। প্রতিটি RADIUS ক্লায়েন্ট - প্রতিটি অ্যাক্সেস পয়েন্ট, প্রতিটি সুইচ, প্রতিটি VPN কনসেন্ট্রেটর - এর বর্তমান শেয়ার্ড সিক্রেট, এটি যে EAP পদ্ধতি ব্যবহার করছে এবং আপনার NPS পলিসিগুলিতে থাকা যেকোনো ভেন্ডর-নির্দিষ্ট অ্যাট্রিবিউটসহ নথিভুক্ত করুন। এটি একটি সাধারণ কাজ মনে হতে পারে, তবে এটি বাদ দেওয়া হলো মাইগ্রেশন ব্যর্থতার এক নম্বর কারণ। দ্বিতীয় ধাপ হলো পাইলট ডেপ্লয়মেন্ট। আপনার ক্লাউড RADIUS ইনস্ট্যান্স চালু করুন এবং একটি নন-প্রোডাকশন SSID বা একটি একক টেস্ট সাইটকে এটির দিকে নির্দেশ করুন। আপনার EAP পদ্ধতিটি শুরু থেকে শেষ পর্যন্ত কাজ করছে কিনা, আপনার আইডেন্টিটি ইন্টিগ্রেশন কাজ করছে কিনা এবং আপনার অ্যাকাউন্টিং ডেটা সঠিকভাবে প্রবাহিত হচ্ছে কিনা তা যাচাই করুন। তৃতীয় ধাপ হলো সমান্তরালভাবে চালানো (parallel running)। এটি অত্যন্ত গুরুত্বপূর্ণ ঝুঁকি হ্রাসের পদক্ষেপ। আপনার অ্যাক্সেস পয়েন্টগুলিকে অন-প্রিমিসেস NPS সার্ভার এবং ক্লাউড RADIUS সার্ভার উভয়ের সাথেই প্রমাণীকরণ টার্গেট হিসেবে কনফিগার করুন, যেখানে ক্লাউড সার্ভিস থাকবে প্রাইমারি এবং NPS থাকবে ফলব্যাক হিসেবে। একটি সম্পূর্ণ ব্যবসায়িক চক্র জুড়ে ন্যূনতম দুই সপ্তাহের জন্য এই কনফিগারেশনে চালান। প্রমাণীকরণের সাফল্যের হার, লেটেন্সি এবং যেকোনো পলিসিগত অসঙ্গতি পর্যবেক্ষণ করুন। চতুর্থ ধাপ হলো কাটওভার। NPS ফলব্যাক কনফিগারেশনটি সরিয়ে ফেলুন এবং আপনার একমাত্র প্রমাণীকরণ পরিকাঠামো হিসাবে ক্লাউড RADIUS-কে নিশ্চিত করুন। এটি একটি পরিকল্পিত রক্ষণাবেক্ষণের সময়ে (maintenance window) করুন এবং একটি রোলব্যাক প্রক্রিয়া নথিভুক্ত ও পরীক্ষা করে রাখুন। পঞ্চম ধাপ হলো ডিকমিশন। কাটওভারের পর ত্রিশ দিন ধরে স্থিতিশীল অপারেশন যাচাই করার পরে, NPS সার্ভারগুলি ডিকমিশন করুন এবং হার্ডওয়্যার বা ভার্চুয়াল মেশিন রিসোর্সগুলি পুনরুদ্ধার করুন। আমি প্রায়শই যে সমস্যাগুলি দেখি সেগুলি হলো: সার্টিফিকেট ট্রাস্ট চেইনের সমস্যা - বিশেষ করে, ক্লায়েন্ট ডিভাইসগুলি ক্লাউড RADIUS সার্ভারের সার্টিফিকেট বিশ্বাস করে না কারণ CA তাদের ট্রাস্টেড স্টোরে নেই। কাটওভারের আগে আপনার MDM বা গ্রুপ পলিসির মাধ্যমে এটি সমাধান করুন। দ্বিতীয় সাধারণ সমস্যাটি হলো ফায়ারওয়াল নিয়ম। ক্লাউড RADIUS-এর জন্য আপনার অ্যাক্সেস পয়েন্ট থেকে ক্লাউড এন্ডপয়েন্টগুলিতে আউটবাউন্ড UDP 1812 এবং 1813 প্রয়োজন, অথবা RadSec-এর জন্য TCP 2083 প্রয়োজন। আপনার নেটওয়ার্ক পেরিমিটার যাতে এই ট্রাফিকটি অনুমতি দেয় তা নিশ্চিত করুন। তৃতীয়: শেয়ার্ড সিক্রেটের জটিলতা। যদি আপনার বিদ্যমান NPS শেয়ার্ড সিক্রেটগুলি দুর্বল হয়, তবে ক্রিপ্টোগ্রাফিকভাবে শক্তিশালী সিক্রেটে রোটেট করার জন্য এই মাইগ্রেশনটিকে একটি সুযোগ হিসাবে ব্যবহার করুন, অথবা আরও ভালো হয়, RadSec-এ চলে যান এবং শেয়ার্ড সিক্রেট সম্পূর্ণরূপে বাদ দিন। --- সেগমেন্ট ৪: দ্রুত প্রশ্নোত্তর এই বিষয়ে আমি প্রায়শই যে প্রশ্নগুলি পাই সেগুলি সংক্ষেপে দেখে নেওয়া যাক। আমরা কি Active Directory অন-প্রিমিসেস রাখতে পারি? হ্যাঁ, অবশ্যই। ক্লাউড RADIUS আপনার অন-প্রিমিসেস AD-এর সাথে LDAPS-এর মাধ্যমে সংযুক্ত হয়। আপনার ডিরেক্টরি যেখানে আছে সেখানেই থাকবে। যদি আমাদের ইন্টারনেট সংযোগ বিচ্ছিন্ন হয়ে যায় তবে কী হবে? এটি একটি গুরুত্বপূর্ণ নির্ভরতার পরিবর্তন। ক্লাউড RADIUS-এর সাথে, প্রমাণীকরণের (authentication) জন্য ইন্টারনেট সংযোগ একটি নির্ভরতা হয়ে ওঠে। বিভ্রাটের সময় পরিচিত ডিভাইসগুলির জন্য প্রমাণীকরণ ক্যাশ করে এমন রিডান্ড্যান্ট WAN লিঙ্ক বা একটি স্থানীয় RADIUS প্রক্সি ব্যবহার করে এটি প্রশমিত করুন। এটি কি আমাদের PCI-DSS সম্মতিকে প্রভাবিত করে? একটি প্রত্যয়িত ক্লাউড RADIUS প্রদানকারীতে স্থানান্তরিত হওয়া সাধারণত আপনার সম্মতির অবস্থানকে উন্নত করে। নিশ্চিত করুন যে আপনার প্রদানকারী SOC 2 Type II রিপোর্ট সরবরাহ করতে পারে এবং এটি আপনার বার্ষিক QSA মূল্যায়ন পরিধির অন্তর্ভুক্ত রয়েছে। একটি সম্পূর্ণ মাইগ্রেশন করতে কত সময় লাগে? একটি একক সাইটের জন্য, দুই থেকে চার সপ্তাহ। পঞ্চাশ বা তার বেশি লোকেশনের মাল্টি-সাইটের জন্য, একটি পর্যায়ভিত্তিক রোলআউট সহ তিন থেকে ছয় মাসের পরিকল্পনা করুন। - - - সেগমেন্ট ৫: সারসংক্ষেপ এবং পরবর্তী পদক্ষেপসমূহ সংক্ষেপে বলতে গেলে: অন-প্রেমিসেস NPS থেকে RADIUS-as-a-Service-এ স্থানান্তরিত হওয়ার বিষয়টি অপারেশনাল, আর্থিক এবং সম্মতির দিক থেকে অত্যন্ত জোরালো। একটি কাঠামোগত সমান্তরাল-চলমান পর্বের সাথে সম্পাদিত হলে মাইগ্রেশন নিজেই কম ঝুঁকিপূর্ণ হয়। মূল প্রযুক্তিগত সিদ্ধান্তগুলি হল আপনার EAP পদ্ধতি নির্বাচন, আপনার পরিচয় একীকরণ পদ্ধতি এবং ট্রান্সপোর্ট সুরক্ষার জন্য RadSec বাস্তবায়ন করবেন কিনা - যা আমি যেকোনো নতুন স্থাপনার জন্য জোরালোভাবে সুপারিশ করব। আপনার তাত্ক্ষণিক পরবর্তী পদক্ষেপসমূহ: আপনার বর্তমান RADIUS ক্লায়েন্ট এবং নীতিগুলির অডিট পরিচালনা করুন, একটি পাইলট পরিবেশের জন্য আপনার ক্লাউড RADIUS প্রদানকারীকে নিযুক্ত করুন এবং শুরু করার আগে আপনার ফায়ারওয়াল নিয়ম এবং সার্টিফিকেট ট্রাস্ট চেইনগুলি পর্যালোচনা করুন। Purple WiFi-এর গেস্ট অ্যাক্সেস প্ল্যাটফর্ম ব্যবহারকারী সংস্থাগুলির জন্য, RADIUS-as-a-Service সক্ষমতা সরাসরি গেস্ট WiFi প্রমাণীকরণ প্রবাহের সাথে একীভূত হয়, যা আপনাকে কর্পোরেট 802.1X প্রমাণীকরণ এবং গেস্ট নেটওয়ার্ক অ্যাক্সেস ম্যানেজমেন্ট উভয়ের জন্যই একটি একক নিয়ন্ত্রণ প্লেন প্রদান করে - যার সাথে অ্যানালিটিক্স এবং সম্মতি রিপোর্টিং বিল্ট-ইন থাকে। শোনার জন্য ধন্যবাদ। সম্পূর্ণ প্রযুক্তিগত নির্দেশিকা গাইডটি Purple ওয়েবসাইটে উপলব্ধ রয়েছে এবং আপনি যদি এগিয়ে যেতে প্রস্তুত হন তবে একটি স্কোপিং আলোচনার জন্য আমাদের সলিউশন টিম উপলব্ধ রয়েছে। - - - স্ক্রিপ্ট সমাপ্ত

header_image.png

কার্যনির্বাহী সংক্ষিপ্তসার

প্রায় দুই দশক ধরে, মাইক্রোসফটের Network Policy Server (NPS) এন্টারপ্রাইজ নেটওয়ার্কের জন্য ডিফল্ট RADIUS বাস্তবায়ন হিসেবে কাজ করে আসছে। তবে, ভেন্যু অপারেটররা যখন খুচরা চেইন থেকে শুরু করে বিশ্বব্যাপী আতিথেয়তা গ্রুপগুলির মতো বিভিন্ন স্থানে তাদের কার্যক্রম প্রসারিত করছে - তখন অন-প্রেমিসেস অথেন্টিকেশন অবকাঠামো পরিচালনার কর্মক্ষম বোঝা একটি বড় দায় হয়ে দাঁড়িয়েছে।

RADIUS as a Service-এ স্থানান্তরিত হওয়া অথেন্টিকেশনকে একটি পরিচালিত হার্ডওয়্যার উপাদান থেকে একটি ব্যবহৃত ক্লাউড সার্ভিসে রূপান্তর করে। এই আর্কিটেকচারাল পরিবর্তনটি একক NPS স্থাপনার মধ্যে থাকা ব্যর্থতার একক পয়েন্টগুলিকে দূর করে, হার্ডওয়্যার রিফ্রেশ চক্রের প্রয়োজনীয়তা দূর করে এবং স্টেডিয়াম এবং কনফারেন্স সেন্টারের মতো উচ্চ-ঘনত্বের পরিবেশের জন্য প্রয়োজনীয় নমনীয় স্কেলেবিলিটি প্রদান করে। আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, এই নির্দেশিকাটি প্রোডাকশন ট্রাফিকের উপর কোনো প্রভাব না ফেলে 802.1X অথেন্টিকেশন ক্লাউডে স্থানান্তরিত করার জন্য একটি ভেন্ডর-নিরপেক্ষ, সুগঠিত পদ্ধতি প্রদান করে, যা PCI-DSS এবং GDPR-এর সাথে সম্মতি নিশ্চিত করে এবং অথেন্টিকেশন অবকাঠামোর OpEx ৮০% পর্যন্ত হ্রাস করে।

টেকনিক্যাল ডিপ-ডাইভ: আর্কিটেকচার এবং স্ট্যান্ডার্ডস

এই স্থানান্তরটি বোঝার জন্য, আমাদের প্রথমে IEEE 802.1X পোর্ট-ভিত্তিক অ্যাক্সেস কন্ট্রোল কীভাবে সরবরাহ করা হয় তার আর্কিটেকচারাল পরিবর্তনটি পরীক্ষা করতে হবে।

অন-প্রেমিসেস NPS-এর সীমাবদ্ধতা

একটি ঐতিহ্যগত স্থাপনায়, অ্যাক্সেস পয়েন্টটি Network Access Server (NAS) হিসেবে কাজ করে, যা একটি অন-প্রেমিসেস NPS সার্ভারে অথেন্টিকেশন অনুরোধগুলি ফরওয়ার্ড করে। NPS সার্ভার কানেকশন অনুরোধের নীতিগুলি মূল্যায়ন করে, আইডেন্টিটি স্টোরের (সাধারণত LDAP-এর মাধ্যমে Active Directory) বিপরীতে শংসাপত্রগুলি যাচাই করে এবং একটি Access-Accept বা Access-Reject বার্তা ফেরত পাঠায়।

এই মডেলটি আধুনিক নেটওয়ার্কের জন্য তিনটি গুরুতর সীমাবদ্ধতা তৈরি করে: ১. হার্ডওয়্যারের উপর নির্ভরতা এবং রক্ষণাবেক্ষণ: NPS-এর জন্য ডেডিকেটেড ফিজিক্যাল বা ভার্চুয়াল মেশিনের প্রয়োজন হয়, যার জন্য ক্রমাগত প্যাচিং, ক্যাপাসিটি প্ল্যানিং এবং লাইফসাইকেল ম্যানেজমেন্টের প্রয়োজন হয়। ২. উচ্চ-প্রাপ্যতার জটিলতা: রিডান্ডেন্সি অর্জনের জন্য ফেইলওভার পেয়ারে NPS স্থাপন করতে হয়, যা প্রকৃত ভৌগোলিক রিডান্ডেন্সি প্রদান না করেই লাইসেন্সিং খরচ দ্বিগুণ করে। ৩. থ্রুপুট জটিলতা: পিক কনকারেন্সির সময় (যেমন স্টেডিয়ামে প্রবেশ বা খুচরা বিক্রয়ের পিক আওয়ার), একটি একক NPS ইনস্ট্যান্স একটি বাধা হয়ে উঠতে পারে, যার ফলে অথেন্টিকেশন টাইমআউট হয় এবং ব্যবহারকারীর অভিজ্ঞতা ব্যাহত হয়।

ক্লাউড RADIUS আর্কিটেকচার

RADIUS as a Service অথেন্টিকেশন স্তরটিকে আলাদা করে। ক্লাউড প্রদানকারী RADIUS সার্ভারের বিতরণ করা, ভৌগোলিকভাবে রিডান্ডেন্ট ক্লাস্টার পরিচালনা করে। NAS এই ক্লাউড এন্ডপয়েন্টগুলির দিকে নির্দেশ করে এবং অনুরোধগুলি স্বয়ংক্রিয়ভাবে লোড-ব্যালেন্সড হয়।

architecture_comparison.png

ট্রান্সপোর্ট সিকিউরিটি: RadSec-এর ভূমিকা যখন RADIUS ক্লাউডে স্থানান্তরিত হয়, তখন প্রমাণীকরণ ট্রাফিক পাবলিক ইন্টারনেটের মধ্য দিয়ে যাতায়াত করে। যদিও লিগ্যাসি RADIUS শেয়ার্ড সিক্রেট এবং MD5 হ্যাশিংয়ের উপর নির্ভর করে, আধুনিক ডিপ্লয়মেন্টে অবশ্যই RadSec (RADIUS over TLS, RFC 6614) প্রয়োগ করতে হবে। RadSec সম্পূর্ণ RADIUS কথোপকথনকে একটি TLS টানেলের মধ্যে (সাধারণত TCP পোর্ট ২০৮৩) এনক্যাপসুলেট করে, যা NAS এবং ক্লাউড RADIUS এন্ডপয়েন্টের মধ্যে পারস্পরিক প্রমাণীকরণের পাশাপাশি HTTPS-এর সমতুল্য ট্রান্সপোর্ট-লেয়ার এনক্রিপশন প্রদান করে।

আইডেন্টিটি ইন্টিগ্রেশন ক্লাউড RADIUS-এর জন্য আপনার ইউজার ডিরেক্টরি মাইগ্রেট করার প্রয়োজন নেই। পরিষেবাগুলো সাধারণত অন-প্রিমিসেস অ্যাক্টিভ ডিরেক্টরিতে LDAPS সংযোগ বা SAML বা SCIM-এর মাধ্যমে Azure Active Directory (Entra ID)-এর সাথে নেটিভ API ইন্টিগ্রেশন সমর্থন করে। এটি নিশ্চিত করে যে আপনার বিদ্যমান ইউজার লাইফসাইকেল ম্যানেজমেন্ট প্রক্রিয়াগুলো অপরিবর্তিত থাকবে।

যেসব ভেন্যু Guest WiFi প্ল্যাটফর্ম ব্যবহার করছে, সেগুলোর সাথে ক্লাউড RADIUS সরাসরি ইন্টিগ্রেট করে কর্পোরেট 802.1X প্রমাণীকরণ এবং গেস্ট নেটওয়ার্ক অ্যাক্সেস উভয়ের জন্য একটি ইউনিফাইড কন্ট্রোল প্লেন প্রদান করে, যার সাথে উন্নত WiFi Analytics -ও রয়েছে।

বাস্তবায়ন নির্দেশিকা: ৫-ধাপের পদ্ধতি

পরিষেবা ব্যাহত না করে মাইগ্রেশন সম্পাদন করতে একটি সুগঠিত, পর্যায়ক্রমিক পদ্ধতির প্রয়োজন।

migration_checklist.png

ধাপ ১: অডিট এবং ইনভেন্টরি

যেকোনো পরিবর্তন করার আগে, বর্তমান অবস্থা নথিভুক্ত করুন:

  • RADIUS ক্লায়েন্ট: প্রতিটি NAS চিহ্নিত করুন (ওয়্যারলেস অ্যাক্সেস পয়েন্ট, সুইচ, VPN কনসেনট্রেটর)।
  • পলিসি: VLAN অ্যাসাইনমেন্টের জন্য ব্যবহৃত ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউট (VSAs) সহ বিদ্যমান NPS সংযোগের অনুরোধ এবং নেটওয়ার্ক পলিসিগুলো নথিভুক্ত করুন।
  • EAP পদ্ধতি: কোন এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল পদ্ধতিগুলো ব্যবহার করা হচ্ছে তা চিহ্নিত করুন (যেমন EAP-TLS, PEAP-MSCHAPv2)।

ধাপ ২: পাইলট ডিপ্লয়মেন্ট

ক্লাউড RADIUS ইনস্ট্যান্সের ব্যবস্থা করুন এবং একটি নন-প্রোডাকশন SSID বা একটি একক টেস্ট সাইট কনফিগার করুন। আইডেন্টিটি ডিরেক্টরি ইন্টিগ্রেশন (যেমন Entra ID সিঙ্ক্রোনাইজেশন) যাচাই করুন এবং নিশ্চিত করুন যে EAP পদ্ধতিগুলো শুরু থেকে শেষ পর্যন্ত সঠিকভাবে কাজ করছে।

ধাপ ৩: সমান্তরালভাবে চালানো (ঝুঁকি হ্রাস)

ক্লাউড RADIUS সার্ভার (প্রাথমিক) এবং লিগ্যাসি NPS সার্ভার (ব্যাকআপ) উভয়ই একসাথে ব্যবহার করার জন্য প্রোডাকশন NAS ডিভাইসগুলো কনফিগার করুন। ন্যূনতম দুই সপ্তাহের জন্য এই কনফিগারেশন বজায় রাখুন। চূড়ান্ত স্থানান্তরের আগে যেকোনো পলিসির অমিল চিহ্নিত করতে প্রমাণীকরণের সাফল্যের হার, লেটেন্সি মেট্রিক্স এবং অ্যাকাউন্টিং ডেটা ফ্লো পর্যবেক্ষণ করুন।

ধাপ ৪: কাটওভার

একটি নির্ধারিত রক্ষণাবেক্ষণের সময়কালে, NAS ডিভাইস থেকে লিগ্যাসি NPS ব্যাকআপ কনফিগারেশনটি সরিয়ে ফেলুন। সম্পূর্ণভাবে ক্লাউড অবকাঠামোতে স্থানান্তরিত হোন। আপনার রোলব্যাক পদ্ধতি নথিভুক্ত এবং পরীক্ষিত হয়েছে তা নিশ্চিত করুন।

ধাপ ৫: ডিকমিশনিং

৩০ দিনের স্থিতিশীল অপারেশনের পর, লিগ্যাসি NPS সার্ভারগুলো নিরাপদে ডিকমিশন করুন এবং কম্পিউট রিসোর্সগুলো পুনরায় উদ্ধার করুন।

সর্বোত্তম অনুশীলন এবং কমপ্লায়েন্স

আপনার ক্লাউড RADIUS আর্কিটেকচার ডিজাইন করার সময় নিম্নলিখিত মানগুলো মেনে চলুন:

  • Mandate RadSec: আপনার NAS হার্ডওয়্যার যদি RadSec (TCP 2083) সমর্থন করে, তবে স্ট্যান্ডার্ড UDP 1812/1813 ব্যবহার করে পাবলিক ইন্টারনেটের মাধ্যমে কখনই RADIUS ট্রাফিক পাঠাবেন না।
  • সার্টিফিকেট ট্রাস্ট চেইন: ক্লায়েন্ট ডিভাইসগুলো যাতে ক্লাউড RADIUS সার্ভার সার্টিফিকেট ইস্যুকারী সার্টিফিকেট অথরিটি (CA)-কে বিশ্বাস করে তা নিশ্চিত করুন। মাইগ্রেশনের আগে MDM বা গ্রুপ পলিসির মাধ্যমে ম্যানেজড ডিভাইসগুলোতে রুট CA পুশ করুন।
  • কমপ্লায়েন্স অবস্থান: এমন একটি ক্লাউড RADIUS প্রোভাইডার বেছে নিন যা SOC 2 Type II প্রমাণীকরণ এবং ISO 27001 সার্টিফিকেশন বজায় রাখে। এটি আপনার বার্ষিক PCI-DSS মূল্যায়নকে উল্লেখযোগ্যভাবে সহজ করে তোলে, বিশেষ করে রিটেল এবং হসপিটালিটি পরিবেশের জন্য।

আরও ব্যাপক নেটওয়ার্ক ডিজাইন নীতির জন্য, আমাদের গাইডগুলো দেখুন: ব্যবসায়ের জন্য WiFi সেট আপ করা: ২০২৬ সালের একটি গাইড এবং সর্বোত্তম চ্যানেল পরিকল্পনার জন্য RSSI এবং সিগন্যাল স্ট্রেন্থ বোঝা

সমস্যা সমাধান এবং ঝুঁকি হ্রাস

ব্যর্থতার ধরণ মূল কারণ প্রশমন কৌশল
অথেনটিকেশন টাইমআউট ফায়ারওয়াল আউটবাউন্ড UDP 1812/1813 বা TCP 2083 ব্লক করছে। পেরিমিটার ফায়ারওয়াল নিয়মগুলো ক্লাউড RADIUS প্রোভাইডারের নির্দিষ্ট IP রেঞ্জে আউটবাউন্ড ট্রাফিক অনুমতি দিচ্ছে কিনা তা যাচাই করুন।
সার্টিফিকেট ট্রাস্ট ত্রুটি ক্লায়েন্ট ডিভাইসের ট্রাস্ট স্টোরে রুট CA অনুপস্থিত। ফেজ ৩ (সমান্তরাল চলমান) এর আগে MDM/GPO-এর মাধ্যমে রুট CA স্থাপন করুন।
VLAN অ্যাসাইনমেন্ট ব্যর্থতা ভেন্ডর-নির্দিষ্ট অ্যাট্রিবিউট (VSAs) ক্লাউড পলিসিতে সঠিকভাবে ম্যাপ করা নেই। ফেজ ১-এর সময়, NPS থেকে হুবহু VSA স্ট্রিং ফরম্যাটগুলো ক্লাউড RADIUS পলিসি ইঞ্জিনে রেপ্লিকেট করুন।
WAN বিভ্রাটের প্রভাব ইন্টারনেট সংযোগ বিচ্ছিন্ন হওয়ার কারণে ক্লাউড RADIUS অ্যাক্সেস করা যাচ্ছে না। রিডান্ডেন্ট WAN লিঙ্ক স্থাপন করুন, অথবা পরিচিত ডিভাইসগুলোর জন্য ক্রেডেনশিয়াল ক্যাশ করে এমন একটি স্থানীয় RADIUS প্রক্সি প্রয়োগ করুন।

ROI এবং ব্যবসায়িক প্রভাব

RADIUS-as-a-Service-এ মাইগ্রেট করা পরিমাপযোগ্য ব্যবসায়িক ফলাফল প্রদান করে:

  • খরচ হ্রাস: হার্ডওয়্যার সংগ্রহ, Windows Server লাইসেন্সিং এবং প্যাচিং ও রক্ষণাবেক্ষণের পিছনে ব্যয় করা ইঞ্জিনিয়ারিং সময় বাঁচায়। সাধারণত OpEx ৬০-৮০% হ্রাস পায়।
  • নির্ভরযোগ্যতা SLAs: ক্লাউড প্রোভাইডাররা আর্থিকভাবে সমর্থিত ৯৯.৯৯% অ্যাভেলেবিলিটি SLAs অফার করে, যেখানে একটি সিঙ্গেল-সাইট NPS স্থাপনে সাধারণত ৯৭-৯৮% অ্যাভেলেবিলিটি পাওয়া যায়।
  • তত্পরতা: স্থানীয় অথেনটিকেশন হার্ডওয়্যার প্রোভিশন না করেই তাৎক্ষণিকভাবে নতুন সাইটগুলো অনলাইনে আনুন, যা পরিবহন হাব এবং হেলথকেয়ার সংস্থাগুলোর স্থাপনার সময়সীমা সংক্ষিপ্ত করে।

আমাদের সিনিয়র কনসালটেন্ট টিমের এই ১০ মিনিটের ব্রিফিংয়ে কৌশলগত প্রভাবগুলো নিয়ে আলোচনা শুনুন:

মূল সংজ্ঞাসমূহ

RADIUS (Remote Authentication Dial-In User Service)

একটি নেটওয়ার্কিং প্রোটোকল যা একটি নেটওয়ার্ক পরিষেবা সংযোগ এবং ব্যবহারকারী ব্যবহারকারীদের জন্য কেন্দ্রীভূত প্রমাণীকরণ, অনুমোদন এবং অ্যাকাউন্টিং (AAA) ব্যবস্থাপনা প্রদান করে।

নেটওয়ার্ক অ্যাক্সেস দেওয়ার আগে ব্যবহারকারীর শংসাপত্র যাচাই করতে এন্টারপ্রাইজ WiFi নেটওয়ার্কগুলো দ্বারা ব্যবহৃত মূল প্রোটোকল।

NPS (Network Policy Server)

Windows Server-এ একটি ভূমিকা হিসাবে বান্ডিল করা Microsoft-এর একটি RADIUS সার্ভার এবং প্রক্সি বাস্তবায়ন।

লেগ্যাসি অন-প্রিমিসেস অবকাঠামো যা রক্ষণাবেক্ষণ ওভারহেড কমাতে সংস্থাগুলো সক্রিয়ভাবে মাইগ্রেট করছে।

NAS (Network Access Server)

যে ডিভাইসটি নেটওয়ার্কের গেটওয়ে হিসাবে কাজ করে এবং RADIUS সার্ভারে প্রমাণীকরণের অনুরোধগুলো পাঠায়।

ওয়্যারলেস প্রসঙ্গে, NAS সাধারণত WiFi অ্যাক্সেস পয়েন্ট বা ওয়্যারলেস LAN কন্ট্রোলার হয়ে থাকে।

RadSec (RADIUS over TLS)

RFC 6614-এ সংজ্ঞায়িত একটি প্রোটোকল যা TLS দিয়ে এনক্রিপ্ট করা একটি TCP সংযোগের মাধ্যমে RADIUS প্যাকেটগুলো পরিবহন করে।

পাবলিক ইন্টারনেট অতিক্রম করার সময় শংসাপত্রের ডেটা এনক্রিপ্ট করা নিশ্চিত করার জন্য ক্লাউড RADIUS স্থাপনে অত্যন্ত গুরুত্বপূর্ণ।

EAP (Extensible Authentication Protocol)

একটি প্রমাণীকরণ ফ্রেমওয়ার্ক যা প্রায়শই ওয়্যারলেস নেটওয়ার্ক এবং পয়েন্ট-টু-পয়েন্ট সংযোগে ব্যবহৃত হয়।

ক্লায়েন্ট এবং সার্ভার কীভাবে নিরাপদে শংসাপত্র বিনিময় করে তা নির্ধারণ করে (যেমন, EAP-TLS-এর মাধ্যমে শংসাপত্র, বা PEAP-এর মাধ্যমে পাসওয়ার্ড)।

VSA (Vendor-Specific Attribute)

মালিকানাধীন বৈশিষ্ট্যগুলো সমর্থন করার জন্য RADIUS প্রোটোকলের মধ্যে হার্ডওয়্যার বিক্রেতাদের দ্বারা সংজ্ঞায়িত কাস্টম বৈশিষ্ট্য।

মাইগ্রেশনের সময় অত্যন্ত গুরুত্বপূর্ণ; ডায়নামিকভাবে নির্দিষ্ট নেটওয়ার্ক VLAN-এ প্রমাণিত ব্যবহারকারীদের বরাদ্দ করতে প্রায়শই VSA ব্যবহার করা হয়।

LDAPS (Lightweight Directory Access Protocol over SSL)

অ্যাক্টিভ ডিরেক্টরির মতো ডিরেক্টরি পরিষেবাগুলি কোয়েরি এবং সংশোধন করার জন্য একটি নিরাপদ প্রোটোকল।

ব্যবহারকারী ডিরেক্টরি ক্লাউডে মাইগ্রেট না করে অন-প্রিমিসেস আইডেন্টিটি স্টোরগুলি নিরাপদে কোয়েরি করতে ক্লাউড RADIUS পরিষেবাগুলি এটি ব্যবহার করে।

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল (PNAC) এর জন্য একটি IEEE স্ট্যান্ডার্ড।

অন্তর্নিহিত স্ট্যান্ডার্ড যা এন্টারপ্রাইজ LAN বা WLAN-এ শুধুমাত্র প্রমাণীকৃত ডিভাইসগুলি যাতে ট্রাফিক পাস করতে পারে তা নিশ্চিত করতে RADIUS ব্যবহার করে।

সমাধানকৃত উদাহরণসমূহ

একটি ২০০টি প্রপার্টি বিশিষ্ট হোটেল গ্রুপ বর্তমানে কর্মীদের 802.1X প্রমাণীকরণের জন্য প্রতিটি সাইটে স্থানীয় NPS সার্ভার পরিচালনা করছে। তারা Microsoft Entra ID (Azure AD)-এ মাইগ্রেট করছে এবং স্থানীয় সার্ভারগুলো নিষ্ক্রিয় করতে চায়। তাদের কীভাবে মাইগ্রেশন শুরু করা উচিত?

১. একটি ক্লাউড RADIUS পরিষেবা স্থাপন করুন যা SAML/SCIM এর মাধ্যমে Microsoft Entra ID-এর সাথে নেটিভভাবে সংহত হয়। ২. Microsoft Entra ID গ্রুপগুলোকে (যেমন, 'Front Desk', 'Management') নির্দিষ্ট VLAN VSA-তে ম্যাপ করার জন্য ক্লাউড RADIUS পলিসিগুলো কনফিগার করুন। ৩. একটি পাইলট প্রপার্টিতে, ক্লাউড RADIUS এন্ডপয়েন্টের সাথে সংযোগ করতে RadSec ব্যবহার করার জন্য অ্যাক্সেস পয়েন্টগুলো কনফিগার করুন। ৪. Microsoft Intune-এর মাধ্যমে সমস্ত কর্মীদের ডিভাইসে ক্লাউড RADIUS সার্ভারের Root CA পুশ করুন। ৫. পাইলট সাইটে সমান্তরাল প্রমাণীকরণ চালান, তারপর বাকি ১৯৯টি প্রপার্টিতে পর্যায়ক্রমে রোল-আউট সম্পন্ন করুন।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি এস্টেট থেকে ২০০টি ফিজিক্যাল/ভার্চুয়াল সার্ভার সরিয়ে দেয়, যা আক্রমণের ঝুঁকি এবং রক্ষণাবেক্ষণ ওভারহেড মারাত্মকভাবে হ্রাস করে। সরাসরি Microsoft Entra ID-এর সাথে একীভূত করার ফলে একটি কেন্দ্রীয় Active Directory-তে ফেরত যাওয়ার জন্য জটিল সাইট-টু-সাইট VPN-এর প্রয়োজনীয়তা দূর হয়।

৫০,০০০ ধারণক্ষমতার একটি স্টেডিয়ামে বড় ইভেন্টগুলোর সময় তাদের কর্পোরেট SSID-এ প্রমাণীকরণ ব্যর্থতা দেখা দেয়, কারণ তাদের অন-প্রিমিসেস NPS সার্ভার একসাথে হাজার হাজার ডিভাইসের রোমিংয়ের থ্রুপুট পরিচালনা করতে পারে না।

১. বিদ্যমান NPS পলিসি এবং EAP পদ্ধতিগুলো অডিট করুন। ২. প্রতি সেকেন্ডে উচ্চ প্রমাণীকরণ (APS) পরিচালনা করার জন্য অটো-স্কেলিং করতে সক্ষম এমন একটি ক্লাউড RADIUS পরিষেবা প্রস্তুত করুন। ৩. ক্লাউড RADIUS পরিষেবা থেকে স্টেডিয়ামের অন-প্রিমিসেস Active Directory-তে একটি LDAPS সংযোগ স্থাপন করুন। ৪. স্টেডিয়ামের হাই-ডেন্সিটি ওয়্যারলেস LAN কন্ট্রোলারগুলোকে প্রাথমিক প্রমাণীকরণ সার্ভার হিসাবে ক্লাউড RADIUS এন্ডপয়েন্টের দিকে নির্দেশ করার জন্য আপডেট করুন।

পরীক্ষকের মন্তব্য: একটি ক্লাউড ক্লাস্টারে RADIUS প্রসেসিং অফলোড করার মাধ্যমে, স্টেডিয়ামটি ইলাস্টিক কম্পিউট রিসোর্স ব্যবহার করতে পারে যা ইভেন্ট শুরুর সময়ে ডায়নামিকভাবে স্কেল হয়, যার ফলে ভেন্যুতে ব্যয়বহুল স্থানীয় হার্ডওয়্যার ওভার-প্রভিশন করার প্রয়োজন ছাড়াই বাধা দূর হয়।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার প্রতিষ্ঠান ক্লাউড RADIUS-এ মাইগ্রেট করছে। সিকিউরিটি টিম নির্দেশ দিয়েছে যে ইন্টারনেটে কোনো অথেনটিকেশন ট্রাফিক ক্লিয়ারটেক্সটে বা MD5 এর মতো অবলুপ্ত হ্যাশিং অ্যালগরিদম ব্যবহার করে পাঠানো যাবে না। আপনার ওয়্যারলেস LAN কন্ট্রোলারে আপনাকে কোন প্রোটোকল কনফিগার করতে হবে?

ইঙ্গিত: এমন প্রোটোকলটি খুঁজুন যা একটি TLS টানেলে RADIUS-কে আবৃত করে।

মডেল উত্তর দেখুন

আপনাকে RadSec (RADIUS over TLS) কনফিগার করতে হবে। RadSec, NAS এবং ক্লাউড RADIUS সার্ভারের মধ্যে TCP পোর্ট ২০৮৩-এর ওপর একটি TLS টানেল স্থাপন করে, যা ট্রান্সপোর্ট-লেয়ার এনক্রিপশন এবং মিউচুয়াল অথেনটিকেশন প্রদান করে সিকিউরিটি টিমের প্রয়োজনীয়তা পূরণ করে।

Q2. আপনার মাইগ্রেশনের ফেজ ৩ (প্যারালাল রানিং) চলাকালীন, আপনি লক্ষ্য করেছেন যে ব্যবহারকারীরা ক্লাউড RADIUS সার্ভারে সফলভাবে প্রমাণীকরণ করছেন, কিন্তু তাদের সঠিক নেটওয়ার্ক সেগমেন্টে রাখা হচ্ছে না। সবচেয়ে সম্ভাব্য কনফিগারেশন গ্যাপ কোনটি?

ইঙ্গিত: একটি RADIUS সার্ভার কীভাবে একটি অ্যাক্সেস পয়েন্টকে কোন নেটওয়ার্ক সেগমেন্ট ব্যবহার করতে হবে তা বলে?

মডেল উত্তর দেখুন

ডায়নামিক VLAN অ্যাসাইনমেন্টের জন্য ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউটস (VSAs) ক্লাউড RADIUS পলিসিতে সঠিকভাবে কনফিগার করা হয়নি। আপনাকে নিশ্চিত করতে হবে যে লেগাসি NPS সার্ভারে ব্যবহৃত সঠিক VSA স্ট্রিংগুলি ক্লাউড এনভায়রনমেন্টে রেপ্লিকেট করা হয়েছে যাতে NAS বুঝতে পারে ব্যবহারকারীকে কোন VLAN অ্যাসাইন করতে হবে।

Q3. একটি ক্লায়েন্ট ডিভাইস বারবার নতুন ক্লাউড RADIUS পরিষেবার বিপরীতে EAP-TLS প্রমাণীকরণে ব্যর্থ হচ্ছে, কিন্তু এটি লেগাসি NPS সার্ভারের সাথে ঠিকঠাক কাজ করে। ডিভাইস লগগুলি একটি 'untrusted server' ত্রুটি দেখাচ্ছে। এটি আপনি কীভাবে সমাধান করবেন?

ইঙ্গিত: EAP-TLS এর জন্য ক্লায়েন্টকে সার্ভারের আইডেন্টিটি বিশ্বাস করতে হবে।

মডেল উত্তর দেখুন

ক্লায়েন্ট ডিভাইসের বিশ্বস্ত রুট স্টোরে ক্লাউড RADIUS সার্ভারের সার্টিফিকেট ইস্যুকারী রুট সার্টিফিকেট অথরিটি (CA) নেই। একটি মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) সমাধান বা গ্রুপ পলিসি ব্যবহার করে আপনাকে ক্লায়েন্ট ডিভাইসে রুট CA ডেপ্লয় করতে হবে।

এই সিরিজে পড়া চালিয়ে যান

হাইব্রিড ওয়ার্কফোর্সের জন্য RADIUS as a Service-এর সুরক্ষাজনিত সুবিধাসমূহ

এই প্রযুক্তিগত রেফারেন্স গাইডটি ব্যাখ্যা করে যে কীভাবে RADIUS as a Service বিভিন্ন স্থানে ছড়িয়ে থাকা হাইব্রিড ওয়ার্কফোর্সের জন্য নেটওয়ার্ক অ্যাক্সেস সুরক্ষিত করে। এটি অন-প্রিমিসেস RADIUS ইনফ্রাস্ট্রাকচারকে একটি ক্লাউড-পরিচালিত অথেন্টিকেশন পরিষেবা দিয়ে প্রতিস্থাপন করার আর্কিটেকচার, সুরক্ষাজনিত সুবিধা এবং ডেপ্লয়মেন্টের ধাপগুলো কভার করে। হোটেল, রিটেল চেইন, স্টেডিয়াম এবং পাবলিক সেক্টর প্রতিষ্ঠানের IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, এই গাইডটি এই ত্রৈমাসিকে ক্লাউড RADIUS মাইগ্রেশন মূল্যায়ন এবং কার্যকর করার জন্য প্রয়োজনীয় প্রমাণ সরবরাহ করে।

গাইডটি পড়ুন →

ক্লাউড ডিরেক্টরি (Azure AD এবং Google Workspace)-এর সাথে RADIUS as a Service একীকরণ করা

এই টেকনিক্যাল রেফারেন্স গাইডটিতে এন্টারপ্রাইজ WiFi অথেন্টিকেশনের জন্য ক্লাউড ডিরেক্টরি - Microsoft Entra ID এবং Google Workspace - এর সাথে RADIUS as a Service কীভাবে একীভূত করতে হয় তা বিস্তারিতভাবে আলোচনা করা হয়েছে। এটি অন-প্রেমিস NPS থেকে ক্লাউড-নেটিভ RADIUS-এ আর্কিটেকচারাল স্থানান্তর, সার্টিফিকেট-ভিত্তিক EAP-TLS অথেন্টিকেশনের ডেপ্লয়মেন্ট এবং হসপিটালিটি, রিটেল এবং পাবলিক-সেক্টর এনভায়রনমেন্ট জুড়ে ওয়্যারলেস অ্যাক্সেস সুরক্ষিত করার জন্য অপারেশনাল সেরা অনুশীলনগুলো কভার করে। ইতিমধ্যে ক্লাউড আইডেন্টিটিতে বিনিয়োগকারী IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, এই গাইডটি ডিরেক্টরি ম্যানেজমেন্ট এবং ফিজিক্যাল নেটওয়ার্ক সিকিউরিটির মধ্যকার ব্যবধান দূর করে।

গাইডটি পড়ুন →

কীভাবে Cloud RADIUS-এর সাথে 802.1X প্রমাণীকরণ বাস্তবায়ন করবেন

এই প্রযুক্তিগত রেফারেন্স গাইডটি বিতরণ করা এন্টারপ্রাইজ এস্টেট জুড়ে Cloud RADIUS-এর সাথে 802.1X প্রমাণীকরণ বাস্তবায়নের জন্য একটি ব্যাপক কাঠামো প্রদান করে। এটি অন-প্রিমিসেস অবকাঠামোর কার্যক্ষম ওভারহেড দূর করার পাশাপাশি নেটওয়ার্ক অ্যাক্সেস সুরক্ষিত করার জন্য প্রয়োজনীয় আর্কিটেকচার, EAP পদ্ধতি নির্বাচন, স্থাপনার অনুক্রম এবং ঝুঁকি প্রশমন কৌশলগুলির বিশদ বিবরণ দেয়।

গাইডটি পড়ুন →