802.1X Supplicant কী? ক্লায়েন্টের ধরন এবং ডিভাইস কনফিগারেশন
এই গাইডটি এন্টারপ্রাইজ WiFi অথেনটিকেশনে 802.1X supplicant এর ভূমিকা ব্যাখ্যা করে। এটি টেকনিক্যাল আর্কিটেকচার কভার করে, নেটিভ OS supplicants এর সাথে থার্ড-পার্টি ক্লায়েন্টদের তুলনা করে এবং EAP-TLS ও PEAP মোতায়েনকারী IT টিমের জন্য ব্যবহারিক কনফিগারেশন নির্দেশিকা প্রদান করে।
এই গাইডটি শুনুন
পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
- এক্সিকিউটিভ সামারি
- গভীর প্রযুক্তিগত বিশ্লেষণ
- 802.1X এর তিনটি উপাদান
- EAP পদ্ধতিসমূহ: Supplicant এর ভাষা
- বাস্তবায়ন নির্দেশিকা
- নেটিভ OS সাপ্লিক্যান্ট
- থার্ড-পার্টি সাপ্লিক্যান্ট সফটওয়্যার
- সার্ভার সার্টিফিকেট যাচাইকরণ কনফিগার করা
- সর্বোত্তম অনুশীলন (Best Practices)
- সমস্যা সমাধান এবং ঝুঁকি হ্রাস (Troubleshooting and Risk Mitigation)
- ROI এবং ব্যবসায়িক প্রভাব (ROI and Business Impact)

এক্সিকিউটিভ সামারি
যখন একটি ডিভাইস কোনো এন্টারপ্রাইজ নেটওয়ার্কের সাথে সংযুক্ত হয়, তখন 802.1X supplicant হলো সেই সফটওয়্যার উপাদান যা এর পরিচয় প্রমাণ করার জন্য দায়ী। বড় ভেন্যুর IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, হেল্পডেস্ক টিকিট তৈরি না করে নেটওয়ার্ক অ্যাক্সেস সুরক্ষিত করার জন্য supplicant কীভাবে কাজ করে তা বোঝা অত্যন্ত গুরুত্বপূর্ণ। এই নির্দেশিকাটি IEEE 802.1X অথেনটিকেশনে ডিভাইস-সাইড এজেন্টকে সহজভাবে ব্যাখ্যা করে, যেখানে নেটিভ OS ক্ষমতার সাথে থার্ড-পার্টি supplicant সফটওয়্যারের তুলনা করা হয়েছে। আমরা দেখব কীভাবে EAP-TLS এবং PEAP-MSCHAPv2 এর জন্য supplicants কনফিগার করতে হয়, হসপিটালিটি এবং রিটেল জুড়ে বাস্তব-জগতের স্থাপনার পরিস্থিতি অন্বেষণ করব এবং কীভাবে সঠিক supplicant কনফিগারেশন অ্যাক্সেস অপ্টিমাইজ করতে আইডেন্টিটি-বেসড নেটওয়ার্কের সাথে সংহত হয় তা বিস্তারিতভাবে আলোচনা করব। আপনি ২০০ কক্ষের একটি হোটেল পরিচালনা করুন বা ৮০,০০০-এর বেশি আসন বিশিষ্ট একটি সক্রিয় ভেন্যু, সঠিক supplicant কনফিগারেশন হলো নিরাপদ ও নির্ভরযোগ্য WiFi গড়ে তোলার অন্যতম ভিত্তি।
গভীর প্রযুক্তিগত বিশ্লেষণ
IEEE 802.1X স্ট্যান্ডার্ডটি পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল সংজ্ঞায়িত করে। এটি একটি সাধারণ ধারণার উপর কাজ করে: কোনো ডিভাইস তার পরিচয় প্রমাণ না করা পর্যন্ত নেটওয়ার্কের প্রান্তে সমস্ত ট্রাফিক ব্লক করে রাখা। এই প্রক্রিয়ায় supplicant হলো ক্লায়েন্ট-সাইডের অংশগ্রহণকারী।
802.1X এর তিনটি উপাদান
অথেনটিকেশনের জন্য তিনটি পৃথক সত্তার প্রয়োজন হয়:
- Supplicant: ক্লায়েন্ট ডিভাইস (ল্যাপটপ, স্মার্টফোন বা ট্যাবলেট) যা নেটওয়ার্ক অ্যাক্সেসের জন্য অনুরোধ করছে।
- Authenticator: নেটওয়ার্ক অ্যাক্সেস ডিভাইস, যেমন Cisco Meraki, HPE Aruba, Ruckus, বা Juniper Mist অ্যাক্সেস পয়েন্ট।
- Authentication Server: RADIUS সার্ভার যা Microsoft Entra ID বা Okta-এর মতো আইডেন্টিটি প্রোভাইডারের বিরুদ্ধে ক্রেডেনশিয়াল যাচাই করে।
অথেনটিকেশনের পূর্বে, authenticator-এর পোর্টটি একটি আনঅথরাইজড অবস্থায় থাকে, যা কেবল Extensible Authentication Protocol over LAN (EAPOL) ট্রাফিকের অনুমতি দেয়। supplicant একটি EAPOL-Start ফ্রেমের মাধ্যমে প্রক্রিয়াটি শুরু করে। authenticator পরিচয় জিজ্ঞাসা করে এবং supplicant সাড়া দেয়। এই পরিচয়টি RADIUS সার্ভারে পাঠানো হয়, যা নির্ধারণ করে কোন EAP পদ্ধতি ব্যবহার করা হবে। সফলভাবে যাচাইকরণের পর, RADIUS সার্ভার একটি Access-Accept বার্তা পাঠায়, পোর্টটি একটি অথরাইজড অবস্থায় স্থানান্তরিত হয় এবং ডিভাইসটিকে সাধারণত একটি নির্দিষ্ট VLAN-এ অ্যাসাইন করা হয়।

EAP পদ্ধতিসমূহ: Supplicant এর ভাষা
supplicant এবং RADIUS সার্ভারকে অবশ্যই একটি Extensible Authentication Protocol (EAP) পদ্ধতির বিষয়ে একমত হতে হবে। EAP পদ্ধতির পছন্দটি নিরাপত্তা ব্যবস্থা এবং supplicant-এর উপর কনফিগারেশনের চাপ নির্ধারণ করে।
EAP-TLS (Transport Layer Security) EAP-TLS এর জন্য সার্টিফিকেট-ভিত্তিক পারস্পরিক প্রমাণীকরণ প্রয়োজন। সাপ্লিক্যান্ট তার পরিচয় প্রমাণের জন্য একটি ক্লায়েন্ট সার্টিফিকেট প্রদান করে, এবং RADIUS সার্ভার নেটওয়ার্কের বৈধতা প্রমাণের জন্য একটি সার্ভার সার্টিফিকেট প্রদান করে। এই পাসওয়ার্ডহীন পদ্ধতিটি ক্রেডেনশিয়াল চুরি নির্মূল করে এবং NIST SP 800-171 এর মতো কঠোর সিকিউরিটি ফ্রেমওয়ার্ক দ্বারা এটি প্রয়োজন। সাপ্লিক্যান্টকে অবশ্যই ইস্যুকারী সার্টিফিকেট অথরিটি (CA) কে বিশ্বাস করতে এবং একটি বৈধ ক্লায়েন্ট সার্টিফিকেট ধারণ করার জন্য কনফিগার করতে হবে।
PEAP (Protected EAP) যেসব ক্ষেত্রে একটি সম্পূর্ণ পাবলিক কি ইনফ্রাস্ট্রাকচার (PKI) সম্ভব নয়, সেখানে PEAP ব্যাপকভাবে ব্যবহৃত হয়। এটি একটি সুরক্ষিত TLS টানেলের মধ্যে একটি অভ্যন্তরীণ প্রমাণীকরণ পদ্ধতি (সাধারণত MSCHAPv2) এনক্যাপসুলেট করে। RADIUS সার্ভার একটি সার্টিফিকেট প্রদান করে, কিন্তু সাপ্লিক্যান্টকে শুধুমাত্র একটি ইউজারনেম এবং পাসওয়ার্ড প্রদান করতে হয়। যদিও PEAP স্থাপন করা সহজ, তবে সাপ্লিক্যান্ট যদি সার্ভার সার্টিফিকেট যাচাই করার জন্য কঠোরভাবে কনফিগার করা না থাকে তবে এটি ক্রেডেনশিয়াল হার্ভেস্টিংয়ের জন্য অত্যন্ত ঝুঁকিপূর্ণ।
বাস্তবায়ন নির্দেশিকা
802.1X স্থাপন করার সময়, আইটি টিমগুলোকে অপারেটিং সিস্টেমে বিল্ট-ইন নেটিভ সাপ্লিক্যান্ট ব্যবহার করা বা থার্ড-পার্টি সাপ্লিক্যান্ট সফটওয়্যার স্থাপন করার মধ্যে সিদ্ধান্ত নিতে হবে।
নেটিভ OS সাপ্লিক্যান্ট
প্রতিটি আধুনিক অপারেটিং সিস্টেমে একটি নেটিভ 802.1X সাপ্লিক্যান্ট অন্তর্ভুক্ত থাকে। Windows এর ক্ষেত্রে Wired AutoConfig এবং WLAN AutoConfig সার্ভিস ব্যবহার করা হয়। Apple ডিভাইসগুলো Network Profiles ব্যবহার করে। Android এটিকে তার WiFi সেটিংসের মধ্যে একীভূত করে।
নেটিভ সাপ্লিক্যান্টগুলো পরিচালিত ডিভাইসের জন্য আদর্শ। Microsoft Intune বা Jamf এর মতো মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) প্ল্যাটফর্ম ব্যবহার করে, আইটি অ্যাডমিনরা নীরবে কনফিগারেশন প্রোফাইলগুলো পুশ করতে পারেন যা SCEP এর মাধ্যমে SSID, EAP পদ্ধতি, বিশ্বস্ত রুট CA এবং সার্টিফিকেট এনরোলমেন্ট প্রক্রিয়া সংজ্ঞায়িত করে। এর ব্যবহারকারীর অভিজ্ঞতা অত্যন্ত নির্বিঘ্ন; ডিভাইসটি ব্যাকগ্রাউন্ডে প্রমাণীকরণ করে।
থার্ড-পার্টি সাপ্লিক্যান্ট সফটওয়্যার
নির্দিষ্ট পরিস্থিতিতে থার্ড-পার্টি সাপ্লিক্যান্ট, যেমন Cisco AnyConnect Network Access Manager বা SecureW2 JoinNow এর প্রয়োজন হয়:
- মালিকানাধীন প্রোটোকল: Cisco EAP-FAST ব্যবহারের জন্য একটি Cisco সাপ্লিক্যান্ট প্রয়োজন।
- BYOD অনবোর্ডিং: থার্ড-পার্টি টুলগুলো প্রায়শই অনবোর্ডিং উইজার্ড হিসেবে কাজ করে, যা ব্যবহারকারীদের এমন অনিয়ন্ত্রিত ডিভাইসে সার্টিফিকেট ইনস্টল করতে গাইড করে যেখানে নেটিভ কনফিগারেশন জটিল (বিশেষ করে ফ্র্যাগমেন্টেড Android পরিবেশে)।
- কঠোর কনফিগারেশন নিয়ন্ত্রণ: থার্ড-পার্টি সাপ্লিক্যান্ট সেটিংস লক ডাউন করতে পারে, যা ব্যবহারকারীদের সার্ভার সার্টিফিকেট যাচাইকরণ নিষ্ক্রিয় করা থেকে বিরত রাখে।

সার্ভার সার্টিফিকেট যাচাইকরণ কনফিগার করা
নির্বাচিত সাপ্লিক্যান্ট যাই হোক না কেন, সার্ভার সার্টিফিকেট যাচাইকরণ কনফিগার করা অত্যন্ত গুরুত্বপূর্ণ, বিশেষ করে PEAP এর জন্য। সাপ্লিক্যান্ট যদি RADIUS সার্ভারের সার্টিফিকেট যাচাই না করে, তবে এটি আপনার SSID অনুকরণকারী একটি প্রতারণামূলক অ্যাক্সেস পয়েন্টে অন্ধভাবে ক্রেডেনশিয়াল পাঠিয়ে দেবে।Windows-এ, এর অর্থ হলো PEAP প্রোপার্টিজে "Verify the server's identity by validating the certificate" টিক দেওয়া, Trusted Root Certification Authority (Root CA) নির্বাচন করা, এবং ক্লায়েন্টের প্রত্যাশা করা নির্দিষ্ট সার্ভার নামগুলো উল্লেখ করা। Apple ডিভাইসে, কনফিগারেশন প্রোফাইলে স্পষ্টভাবে বিশ্বস্ত সার্টিফিকেট তালিকাভুক্ত থাকতে হবে।
সর্বোত্তম অনুশীলন (Best Practices)
- Server Validation প্রয়োগ করুন: PEAP ডেপ্লয় করার সময়, RADIUS সার্ভার সার্টিফিকেট যাচাই করার জন্য supplicants কনফিগার না করে কখনই এটি করবেন না। "evil twin" আক্রমণের বিরুদ্ধে এটিই প্রথম স্তরের প্রতিরক্ষা।
- Certificate Lifecycle স্বয়ংক্রিয় করুন: EAP-TLS ব্যবহার করার সময়, SCEP বা NDES ব্যবহার করে MDM-এর মাধ্যমে ক্লায়েন্ট সার্টিফিকেট তালিকাভুক্তি এবং নবায়ন স্বয়ংক্রিয় করুন। ম্যানুয়াল সার্টিফিকেট ম্যানেজমেন্ট স্কেল করা যায় না এবং এর ফলে হঠাৎ প্রমাণীকরণ (authentication) ব্যর্থ হতে পারে।
- Identity দ্বারা পৃথক করুন: যাচাইকৃত পরিচয়ের উপর ভিত্তি করে VLAN বরাদ্দ করতে RADIUS অ্যাট্রিবিউট ব্যবহার করুন। কর্মীদের ডিভাইস এবং POS টার্মিনাল একই SSID-তে প্রমাণীকরণ করা উচিত তবে সম্পূর্ণ ভিন্ন VLAN-এ থাকা উচিত।
- IoT-এর জন্য পরিকল্পনা করুন: বেশিরভাগ IoT ডিভাইসে 802.1X supplicants থাকে না। এই ডিভাইসগুলির জন্য, MAC Address Bypass (MAB) ব্যবহার করুন, তবে নিশ্চিত করুন যে সেগুলি একটি ডেডিকেটেড IoT VLAN-এ কঠোরভাবে বিচ্ছিন্ন রয়েছে।
সমস্যা সমাধান এবং ঝুঁকি হ্রাস (Troubleshooting and Risk Mitigation)
যখন কোনও ডিভাইস সংযোগ করতে ব্যর্থ হয়, তখন সমস্যাটি প্রায়শই ক্লায়েন্ট কনফিগারেশন বা সার্টিফিকেট চেইনের মধ্যে থাকে।
- "Connected, No Internet": এটি সাধারণত একটি VLAN অ্যাসাইনমেন্ট ব্যর্থতা বা পোস্ট-অথেন্টিকেশন DHCP সমস্যা নির্দেশ করে। Access-Accept মেসেজে সঠিক Tunnel-Private-Group-Id রয়েছে কিনা তা যাচাই করতে RADIUS লগ পরীক্ষা করুন।
- Windows 11-এ নীরব ব্যর্থতা: সাম্প্রতিক Windows 11 ফিচার আপডেটগুলি (যেমন 24H2) নেটিভ supplicant কীভাবে EAP-TLS ফলব্যাক পরিচালনা করে তা পরিবর্তন করেছে। ব্যাপক ডেপ্লয়মেন্টের আগে সর্বদা নতুন OS বিল্ডের বিপরীতে প্রোফাইলগুলি পরীক্ষা করুন।
- Certificate-এর মেয়াদ শেষ হওয়া: যদি একদল ডিভাইস হঠাৎ অফলাইন হয়ে যায়, তবে ক্লায়েন্ট সার্টিফিকেটের বৈধতার সময়কাল পরীক্ষা করুন। আপনার MDM যাতে মেয়াদ শেষ হওয়ার আগেই সেগুলি সফলভাবে নবায়ন করে তা নিশ্চিত করুন।
ROI এবং ব্যবসায়িক প্রভাব (ROI and Business Impact)
সঠিকভাবে কনফিগার করা supplicants সহ 802.1X-এ স্থানান্তরিত হওয়া পরিমাপযোগ্য ব্যবসায়িক মূল্য প্রদান করে। শেয়ার্ড পাসওয়ার্ড (Pre-Shared Keys/PSK) বাদ দিয়ে, কর্মচারীরা চলে যাওয়ার সময় পাসওয়ার্ড পরিবর্তন করার অপারেশনাল ঝামেলা আপনি সম্পূর্ণরূপে দূর করতে পারেন। EAP-TLS-এ স্থানান্তরিত হওয়া পাসওয়ার্ড-রিসেট সংক্রান্ত টিকিট সম্পূর্ণরূপে দূর করতে পারে, যা সার্ভিস ডেস্কের জন্য উল্লেখযোগ্য উৎপাদনশীলতার সময় বাঁচায়।
তদুপরি, 802.1X একটি একক SSID-তে পরিচয়-ভিত্তিক নেটওয়ার্ক বিচ্ছিন্নকরণ সক্ষম করে। Guest WiFi , কর্মী এবং অপারেশনগুলির জন্য আলাদা নেটওয়ার্ক সম্প্রচার করার পরিবর্তে, একটি একক SSID ক্লায়েন্ট ক্রেডেনশিয়ালের উপর ভিত্তি করে নিরাপদে ট্রাফিক রাউট করতে পারে। এটি চ্যানেল ইন্টারফেয়ারেন্স হ্রাস করে এবং সামগ্রিক নেটওয়ার্ক কর্মক্ষমতা উন্নত করে, যা হার্ডওয়্যার-অজ্ঞেয়বাদী নেটওয়ার্ক পরিচালনায় Purple-এর ক্লাউড ওভারলে পদ্ধতিকে সরাসরি সমর্থন করে। আরও গভীর বিশ্লেষণাত্মক অন্তর্দৃষ্টির জন্য, আমাদের WiFi Analytics ফিচারটি এক্সপ্লোর করুন।
মূল সংজ্ঞাসমূহ
802.1X Supplicant
একটি ক্লায়েন্ট ডিভাইসের সফ্টওয়্যার উপাদান যা একটি IEEE 802.1X সুরক্ষিত নেটওয়ার্কে যোগদানের জন্য প্রয়োজনীয় অথেনটিকেশন প্রক্রিয়া পরিচালনা করে।
IT টিমগুলো একটি ডিভাইস কীভাবে নেটওয়ার্কের কাছে তার পরিচয় প্রমাণ করবে তা নির্ধারণ করতে supplicant কনফিগার করে।
Authenticator
নেটওয়ার্ক ডিভাইস (সুইচ বা অ্যাক্সেস পয়েন্ট) যা supplicant সফলভাবে অথেনটিকেট না করা পর্যন্ত ট্রাফিক ব্লক করে।
Cisco Meraki বা HPE Aruba এর মতো ভেন্ডরদের হার্ডওয়্যার authenticator হিসেবে কাজ করে, যা ডিভাইস এবং সার্ভারের মধ্যে মেসেজ রিলে করে।
RADIUS
Remote Authentication Dial-In User Service। সার্ভার যা supplicant দ্বারা প্রদত্ত ক্রেডেনশিয়াল যাচাই করে।
RADIUS সার্ভার অ্যাক্সেস দেওয়ার আগে Okta বা Microsoft Entra ID এর মতো ডিরেক্টরির বিপরীতে পরিচয় যাচাই করে।
EAP-TLS
Extensible Authentication Protocol with Transport Layer Security। একটি অথেনটিকেশন পদ্ধতি যার জন্য ক্লায়েন্ট এবং সার্ভার উভয়েরই ডিজিটাল সার্টিফিকেট প্রয়োজন হয়।
পাসওয়ার্ডের প্রয়োজনীয়তা দূর করে এন্টারপ্রাইজ নেটওয়ার্কের জন্য সবচেয়ে নিরাপদ পদ্ধতি হিসেবে বিবেচিত।
PEAP
Protected Extensible Authentication Protocol। একটি অথেনটিকেশন পদ্ধতি যা পাসওয়ার্ড-ভিত্তিক অথেনটিকেশন সুরক্ষিত করতে একটি নিরাপদ TLS টানেল তৈরি করে।
সাধারণত BYOD পরিবেশে ব্যবহৃত হয় যেখানে অনিয়ন্ত্রিত ডিভাইসগুলোতে ক্লায়েন্ট সার্টিফিকেট মোতায়েন করা খুব জটিল।
EAPOL
LAN-এর উপর Extensible Authentication Protocol। এই প্রোটোকলটি supplicant এবং authenticator-এর মধ্যে EAP বার্তাগুলিকে এনক্যাপসুলেট করতে ব্যবহৃত হয়।
অথেনটিকেশনের আগে, EAPOL হল একমাত্র ট্রাফিক যা authenticator পোর্টের মধ্য দিয়ে যাওয়ার অনুমতি দেয়।
MAC Authentication Bypass (MAB)
একটি ফলব্যাক প্রমাণীকরণ পদ্ধতি যেখানে নেটওয়ার্ক ডিভাইসের MAC অ্যাড্রেসকে তার পরিচয় হিসেবে ব্যবহার করে।
প্রিন্টার, ক্যামেরা এবং IoT ডিভাইসের জন্য ব্যবহৃত হয় যেগুলিতে 802.1X supplicant নেই।
VLAN Assignment
একটি নির্দিষ্ট ভার্চুয়াল নেটওয়ার্ক সেগমেন্টে একটি অনুমোদিত ডিভাইসকে ডাইনামিকভাবে স্থাপন করার প্রক্রিয়া।
RADIUS সার্ভার authenticator-কে বলে যে supplicant-এর পরিচয়ের উপর ভিত্তি করে কোন VLAN বরাদ্দ করতে হবে।
সমাধানকৃত উদাহরণসমূহ
একটি ২০০ রুমের হোটেলের তাদের স্টাফ নেটওয়ার্ক সুরক্ষিত করা প্রয়োজন। বর্তমানে একটি শেয়ার্ড পাসওয়ার্ড সহ WPA2-Personal ব্যবহার করছে, তারা 802.1X-এ স্থানান্তরিত হতে চায়। স্টাফরা শিডিউলিংয়ের জন্য কর্পোরেট-মালিকানাধীন Windows ল্যাপটপ এবং ব্যক্তিগত Android ফোনের মিশ্রণ ব্যবহার করে। কীভাবে তাদের supplicant কনফিগার করা উচিত?
হোটেলের একটি হাইব্রিড পদ্ধতি মোতায়েন করা উচিত। কর্পোরেট Windows ল্যাপটপের জন্য, তাদের Microsoft Intune-এর মাধ্যমে কনফিগার করা নেটিভ Windows supplicant ব্যবহার করা উচিত। MDM প্রোফাইলের উচিত EAP-TLS সেটিংস পুশ করা, Root CA ইনস্টল করা এবং SCEP-এর মাধ্যমে ক্লায়েন্ট সার্টিফিকেট এনরোলমেন্ট স্বয়ংক্রিয় করা। ব্যক্তিগত Android ফোনের জন্য, তাদের একটি সেলফ-সার্ভিস পোর্টালের মাধ্যমে একটি থার্ড-পার্টি অনবোর্ডিং এজেন্ট (যেমন SecureW2) মোতায়েন করা উচিত। স্টাফ মেম্বার তাদের Microsoft Entra ID ক্রেডেনশিয়াল ব্যবহার করে পোর্টালে লগইন করেন এবং এজেন্টটি স্বয়ংক্রিয়ভাবে PEAP-MSCHAPv2 এর জন্য নেটিভ Android supplicant কনফিগার করে, যা সার্ভার সার্টিফিকেট ভ্যালিডেশন লকড ইন থাকা নিশ্চিত করে।
৫০টি স্টোর সহ একটি বড় রিটেল চেইন নতুন মোবাইল পয়েন্ট-অফ-সেল (POS) ট্যাবলেট চালু করছে। PCI DSS এর জন্য কঠোর নেটওয়ার্ক আইসোলেশন প্রয়োজন। কীভাবে supplicant কনফিগারেশন কমপ্লায়েন্স নিশ্চিত করবে?
ট্যাবলেটগুলো MDM এর মাধ্যমে পরিচালনা করা উচিত। MDM একটি নেটিভ supplicant কনফিগারেশন প্রোফাইল পুশ করে যা EAP-TLS প্রয়োগ করে। প্রতিটি ট্যাবলেট একটি অনন্য ক্লায়েন্ট সার্টিফিকেট পায় যাতে একটি অ্যাট্রিবিউট থাকে যা এটিকে POS ডিভাইস হিসেবে চিহ্নিত করে। যখন ট্যাবলেটের supplicant অথেনটিকেট করে, তখন RADIUS সার্ভার এই অ্যাট্রিবিউটটি পড়ে এবং বিশেষভাবে PCI-কমপ্লায়েন্ট নেটওয়ার্ক সেগমেন্টের জন্য একটি VLAN অ্যাসাইনমেন্ট ফেরত দেয়। supplicant কনফিগারেশন লক ডাউন করা আবশ্যক যাতে স্টোর স্টাফ নেটওয়ার্ক সেটিংস পরিবর্তন করতে না পারে।
অনুশীলনী প্রশ্নসমূহ
Q1. আপনার প্রতিষ্ঠান একটি নতুন কর্মীদের BYOD নেটওয়ার্কের জন্য PEAP-MSCHAPv2 স্থাপন করছে। পরীক্ষার সময়, আপনি লক্ষ্য করেছেন যে ডিভাইসগুলি একই SSID ব্রডকাস্ট করা একটি টেস্ট অ্যাক্সেস পয়েন্টের সাথে সংযোগ করতে পারে, যদিও এটি আপনার RADIUS সার্ভারের সাথে সংযুক্ত নয়। কোন supplicant কনফিগারেশন ধাপটি মিস করা হয়েছিল?
ইঙ্গিত: MSCHAPv2 ক্রেডেনশিয়াল পাঠানোর আগে supplicant কীভাবে নেটওয়ার্কের পরিচয় যাচাই করে তা বিবেচনা করুন।
মডেল উত্তর দেখুন
supplicant-কে সার্ভার সার্টিফিকেট যাচাই করার জন্য কনফিগার করা হয়নি। PEAP-এ, RADIUS সার্ভারের সার্টিফিকেট ইস্যুকারী নির্দিষ্ট Root CA-কে বিশ্বাস করতে এবং সার্ভারের ডোমেন নাম যাচাই করতে supplicant-কে স্পষ্টভাবে কনফিগার করতে হবে। এটি ছাড়া, supplicant সার্টিফিকেট উপস্থাপনকারী যেকোনো সার্ভারের সাথে একটি TLS টানেল স্থাপন করবে, যা ব্যবহারকারীর ক্রেডেনশিয়ালকে একটি অননুমোদিত অ্যাক্সেস পয়েন্টের কাছে প্রকাশ করে দেবে।
Q2. একটি বিশ্ববিদ্যালয় তার পরিচালিত Windows ল্যাপটপ বহরকে PEAP থেকে EAP-TLS-এ স্থানান্তরিত করছে। তারা MDM-এর মাধ্যমে নতুন কনফিগারেশন প্রোফাইল পুশ করে, কিন্তু সমস্ত ডিভাইস প্রমাণীকরণ করতে ব্যর্থ হয়। RADIUS লগগুলি 'EAP-TLS failed SSL/TLS handshake' প্রদর্শন করছে। সবচেয়ে সম্ভাব্য কারণ কী?
ইঙ্গিত: EAP-TLS-এর জন্য পারস্পরিক প্রমাণীকরণ প্রয়োজন। PEAP-এর জন্য যা প্রয়োজন ছিল না, ক্লায়েন্টের জন্য এমন কী প্রয়োজন?
মডেল উত্তর দেখুন
ক্লায়েন্ট ডিভাইসগুলিতে একটি বৈধ ক্লায়েন্ট সার্টিফিকেটের অভাব রয়েছে। EAP-TLS-এর জন্য supplicant-কে RADIUS সার্ভারে একটি সার্টিফিকেট উপস্থাপন করতে হয়। MDM প্রোফাইলটি কেবল EAP পদ্ধতিকে TLS-এ সেট করার জন্যই নয়, বরং প্রমাণীকরণের চেষ্টা করার আগে প্রতিষ্ঠানের PKI থেকে ক্লায়েন্ট সার্টিফিকেটের অনুরোধ এবং ইনস্টল করার জন্য SCEP-এর মতো একটি প্রোটোকল ট্রিগার করার জন্যও কনফিগার করতে হবে।
Q3. আপনাকে একটি [Healthcare](/industries/healthcare) পরিবেশে নেটওয়ার্কের সাথে ৫০টি স্মার্ট TV সংযুক্ত করতে হবে। TV-গুলি কেবল WPA2-Personal (Pre-Shared Key) সমর্থন করে এবং এগুলিতে কোনো 802.1X supplicant নেই। কর্মীদের ডিভাইসের জন্য 802.1X বজায় রাখার সাথে সাথে আপনি কীভাবে তাদের অ্যাক্সেস সুরক্ষিত করবেন?
ইঙ্গিত: ডিভাইসটি যদি EAP-তে কথা বলতে না পারে, তবে authenticator-কে অবশ্যই অন্য উপায়ে এটি সনাক্ত করতে হবে।
মডেল উত্তর দেখুন
আপনার MAC Authentication Bypass (MAB) ব্যবহার করা উচিত। authenticator স্মার্ট TV-এর MAC অ্যাড্রেসকে ব্যবহারকারীর নাম এবং পাসওয়ার্ড হিসেবে ব্যবহার করবে যা RADIUS সার্ভারে পাঠানো হয়। যেহেতু MAC অ্যাড্রেস স্পুফ করা যেতে পারে, তাই RADIUS সার্ভারকে এই ডিভাইসগুলিকে একটি অত্যন্ত সীমাবদ্ধ, বিচ্ছিন্ন IoT VLAN-এ বরাদ্দ করার জন্য কনফিগার করতে হবে যা কেবল প্রয়োজনীয় ট্রাফিকের অনুমতি দেয়।
এই সিরিজে পড়া চালিয়ে যান
Guest এবং Staff WiFi নেটওয়ার্কের জন্য RADIUS Authentication কনফিগার করা
এই টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ guest এবং staff WiFi নেটওয়ার্কের জন্য RADIUS authentication-এর আর্কিটেকচার, কনফিগারেশন এবং ডিপ্লয়মেন্টের রূপরেখা প্রদান করে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অ্যাক্সেস কন্ট্রোল সিস্টেম তৈরি করার জন্য প্রয়োজনীয় সঠিক প্রোটোকল, সিকিউরিটি স্ট্যান্ডার্ড এবং ট্রাবলশুটিং মেথডোলজি প্রদান করে।
Passpoint এবং OpenRoaming: সম্পূর্ণ নির্দেশিকা
এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি এন্টারপ্রাইজ WiFi নেটওয়ার্কের মধ্যে Passpoint (Hotspot 2.0) এবং WBA OpenRoaming ফ্রেমওয়ার্কের একটি বিস্তৃত বিশ্লেষণ প্রদান করে। এটি একটি নিরাপদ, ঝামেলামুক্ত অতিথি সংযোগ স্থাপন করার জন্য প্রয়োজনীয় অন্তর্নিহিত প্রমাণীকরণ প্রোটোকল, আর্কিটেকচারাল উপাদান এবং স্থাপনার কৌশলগুলি বিস্তারিতভাবে বর্ণনা করে। নেটওয়ার্ক স্থপতি এবং IT লিডাররা এন্টারপ্রাইজ-গ্রেড নিরাপত্তা বজায় রেখে ম্যানুয়াল লগইন বাধাগুলি দূর করতে কীভাবে এই মানগুলি ডিজাইন, বাস্তবায়ন এবং সমস্যা সমাধান করবেন তা শিখবেন।
উচ্চশিক্ষায় সুরক্ষিত BYOD এবং নেটওয়ার্ক এনরোলমেন্টের জন্য কীভাবে SCEP বাস্তবায়ন করবেন
এই প্রযুক্তিগত নির্দেশিকাটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের উচ্চশিক্ষার ক্যাম্পাস নেটওয়ার্ক সুরক্ষিত করতে SCEP ভিত্তিক সার্টিফিকেট এনরোলমেন্ট স্থাপনের জন্য একটি ভেন্ডর - নিরপেক্ষ ব্লুপ্রিন্ট প্রদান করে। এটি কীভাবে পাসওয়ার্ড ভিত্তিক PEAP থেকে 802.1X EAP-TLS-এ স্থানান্তরিত হতে হবে, BYOD অনবোর্ডিং স্বয়ংক্রিয় করতে হবে এবং শক্তিশালী VLAN সেগমেন্টেশন কার্যকর করতে হবে তা বিস্তারিতভাবে বর্ণনা করে।