WiFi প্রমাণীকরণের জন্য একটি RADIUS সার্ভার কিভাবে সেট আপ করবেন

এই প্রামাণিক নির্দেশিকাটি আইটি নেতা এবং নেটওয়ার্ক স্থপতিদের এন্টারপ্রাইজ WiFi প্রমাণীকরণের জন্য একটি RADIUS সার্ভার স্থাপনের একটি ব্যাপক নীলনকশা প্রদান করে। এটি অন-প্রেমিস এবং ক্লাউড-হোস্টেড স্থাপনার মধ্যে স্থাপত্যগত আপস, EAP পদ্ধতি নির্বাচন, Active Directory ইন্টিগ্রেশন এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট কভার করে। ভেন্যু অপারেটর এবং আইটি দলগুলি এই ত্রৈমাসিকে একটি অরক্ষিত PSK পরিবেশ থেকে একটি শক্তিশালী 802.1X পরিকাঠামোতে স্থানান্তরিত হওয়ার জন্য কার্যকরী বাস্তবায়ন পদক্ষেপ, বাস্তব-বিশ্বের কেস স্টাডি এবং ঝুঁকি প্রশমন কৌশল খুঁজে পাবে।

📖 8 GuidesSlugPage.minRead📝 1,860 GuidesSlugPage.words🔧 2 GuidesSlugPage.workedExamples❓ 3 GuidesSlugPage.practiceQuestions📚 9 GuidesSlugPage.keyDefinitions

GuidesSlugPage.podcastTitle

GuidesSlugPage.podcastTranscript

Welcome to Purple's Technical Briefing. Today we are tackling a critical infrastructure decision for any enterprise IT leader: how to set up a RADIUS server for WiFi authentication. If you are managing a large-scale deployment — whether that is a hotel chain, a retail network, or a sprawling university campus — relying on a simple pre-shared key is a significant security risk. We need 802.1X, and that means we need RADIUS.

Let's start with the context. RADIUS, or Remote Authentication Dial-In User Service, acts as the gatekeeper for your network. When a device tries to connect to a WiFi access point, the access point acts as an authenticator and forwards the credentials to the RADIUS server. The server checks those credentials against a directory — like Active Directory or an LDAP database — and then returns an accept or reject message. It is the foundation of enterprise WiFi security, and it is the mechanism that allows you to enforce granular access policies at scale.

Now let's move into the technical deep-dive. The first major architectural decision you will face is choosing between an on-premise RADIUS server and a cloud-hosted solution. Historically, on-premise solutions like Microsoft's Network Policy Server, or NPS, or the open-source FreeRADIUS were the standard. They offer complete control over the infrastructure and do not rely on an external internet connection for authentication. However, they require dedicated hardware, ongoing maintenance, and manual configuration of redundancy. If you have a single data centre and a well-staffed IT team, this is a perfectly valid approach.

On the other hand, cloud RADIUS solutions have become increasingly popular, especially for distributed environments like retail chains or hospitality venues. Cloud RADIUS abstracts the hardware management entirely, offers built-in high availability, and integrates seamlessly with cloud identity providers like Azure Active Directory or Okta. The trade-off is that authentication requires a reliable internet connection, and there is an ongoing subscription cost. For a venue operator running fifty or a hundred locations, the operational savings from not deploying and maintaining on-premise servers at each site will almost certainly outweigh that cost.

When deploying RADIUS, the Extensible Authentication Protocol — EAP — is the critical piece. It defines how the client and server negotiate and perform the authentication. EAP-TLS is the gold standard for security because it uses digital certificates on both the client and the server, eliminating the need for passwords entirely. This means even if an attacker captures the authentication exchange, there are no credentials to steal. However, deploying client certificates can be administratively heavy. You need a Public Key Infrastructure and an MDM solution to push certificates to every device.

PEAP-MSCHAPv2 is the most common alternative. It uses a server-side certificate to establish an encrypted TLS tunnel, inside of which the user authenticates with a username and password. This is significantly easier to deploy than EAP-TLS because you only need to manage one certificate — the server's. However, and this is critical — if clients are not strictly configured to validate the server's certificate, they are vulnerable to rogue access points. An attacker can stand up a fake access point, present a fraudulent certificate, and capture credentials. This is not a theoretical attack. It is a well-documented real-world threat.

Let's talk implementation recommendations and pitfalls. The first recommendation is to enforce strict certificate validation on every client device. Use Group Policy Objects for Windows devices and MDM profiles — whether that is Intune, Jamf, or another solution — for macOS and mobile devices. The profile must specify exactly which Certificate Authority to trust and what the expected server name is. Do not leave this to the end user to configure manually.

The second recommendation is to implement dynamic VLAN assignment. Instead of putting all authenticated users on the same flat network, configure the RADIUS server to instruct the access point to place the user on a specific VLAN based on their group membership in the directory. This is essential for segmenting corporate devices from BYOD or guest devices. A staff member in the finance team should be on a different network segment than a contractor visiting for the day.

The third recommendation concerns guest access. For venues that need to provide WiFi to visitors — hotels, retail stores, conference centres — integrating your RADIUS infrastructure with a captive portal solution like Purple's Guest WiFi platform is a powerful combination. Staff and corporate devices authenticate silently via 802.1X, while guests are directed to a branded portal for authentication. Purple's platform then captures first-party data and provides analytics on visitor behaviour, turning your network from a cost centre into a business intelligence asset.

Now for a rapid-fire question and answer session. First question: Do I need a dedicated server for RADIUS? For on-premise deployments, yes, it is highly recommended to run it on a dedicated virtual machine rather than sharing resources with a domain controller. Authentication is a latency-sensitive operation, and resource contention can cause intermittent failures that are very difficult to diagnose. Second question: Can RADIUS handle authentication for headless devices like printers or IoT sensors? Yes, through MAC Authentication Bypass, or MAB. This allows devices without 802.1X capabilities to be authenticated based on their MAC address. However, because MAC addresses are easily spoofed, MAB-authenticated devices should always be placed on a highly restricted VLAN. Third question: How do I handle RADIUS server redundancy? Always deploy at least two RADIUS servers — a primary and a secondary. Configure all access points to fail over to the secondary if the primary becomes unreachable. For cloud RADIUS, this redundancy is typically built in and managed by the provider.

To summarise the key takeaways from today's briefing. Pre-shared keys are not acceptable for enterprise WiFi. Implement 802.1X. Choose your deployment model — on-premise or cloud — based on your IT resources, the number of locations you are managing, and your existing identity infrastructure. If you are distributed and cloud-first, cloud RADIUS is almost certainly the right answer. Enforce strict certificate validation on clients. This is non-negotiable. Use dynamic VLAN assignment to segment your network. And finally, consider how your authentication infrastructure can integrate with broader platforms to deliver business value beyond simply controlling access.

For further reading, we recommend exploring Purple's guides on configuring 802.1X WiFi authentication and securing your network with strong DNS policies. Thank you for listening.

GuidesSlugPage.keyTakeawaysTitle

✓Pre-Shared Keys (PSK) are not acceptable for enterprise WiFi: a single compromised credential exposes the entire network. 802.1X with RADIUS is the industry standard.
✓The 802.1X architecture has three roles: Supplicant (client), Authenticator (access point), and Authentication Server (RADIUS). Understanding which component is failing is the foundation of effective troubleshooting.
✓Choose Cloud RADIUS for distributed environments with limited branch IT staff; choose On-Premise RADIUS when you need maximum control, have dedicated IT resources, and have strict data sovereignty requirements.
✓PEAP-MSCHAPv2 is the most common deployment method, but it is only secure when clients are explicitly configured to validate the RADIUS server's certificate — enforce this via GPO or MDM without exception.
✓Dynamic VLAN Assignment is essential for network segmentation: it allows a single SSID to serve staff, contractors, guests, and IoT devices on separate network segments, enforced automatically based on directory group membership.
✓MAC Authentication Bypass (MAB) provides device identification for headless IoT devices but is not a security control — always pair it with restrictive VLAN assignment and firewall rules.
✓For venue operators, combining 802.1X for staff with a captive portal solution like Purple for guests creates a tiered access model that delivers both security and business intelligence from the same wireless infrastructure.

কার্যনির্বাহী সারসংক্ষেপ

এন্টারপ্রাইজ পরিবেশের জন্য — তা একটি বিস্তৃত বিশ্ববিদ্যালয় ক্যাম্পাস, একটি উচ্চ-ঘনত্বের স্টেডিয়াম, বা একটি বিতরণ করা খুচরা চেইন হোক না কেন — WiFi অ্যাক্সেসের জন্য একটি Pre-Shared Key (PSK) এর উপর নির্ভর করা একটি উল্লেখযোগ্য নিরাপত্তা ঝুঁকি। একটি একক আপসকৃত প্রমাণপত্র পুরো নেটওয়ার্ককে উন্মুক্ত করে দেয় এবং অ্যাক্সেস প্রত্যাহার করার জন্য এস্টেটের প্রতিটি ডিভাইসের পাসওয়ার্ড পরিবর্তন করতে হয়। একটি RADIUS (Remote Authentication Dial-In User Service) সার্ভারের মাধ্যমে 802.1X প্রমাণীকরণ বাস্তবায়ন এই সমস্যাটিকে সম্পূর্ণরূপে দূর করে: প্রতিটি ব্যবহারকারী স্বতন্ত্রভাবে প্রমাণীকরণ করে, অ্যাক্সেস তাৎক্ষণিকভাবে প্রত্যাহার করা যায় এবং নেটওয়ার্ক বিভাজন গতিশীলভাবে প্রয়োগ করা হয়।

এই নির্দেশিকাটি আইটি ম্যানেজার এবং নেটওয়ার্ক স্থপতিদের RADIUS প্রমাণীকরণ স্থাপনের জন্য একটি সুনির্দিষ্ট রোডম্যাপ প্রদান করে। আমরা অন-প্রেমিস এবং ক্লাউড-হোস্টেড স্থাপনার মধ্যে স্থাপত্যগত আপস, Extensible Authentication Protocol (EAP) পদ্ধতির কনফিগারেশন এবং Active Directory-এর মতো ডিরেক্টরি পরিষেবাগুলির সাথে ইন্টিগ্রেশন কভার করি। আমরা আরও দেখাই কিভাবে একটি শক্তিশালী প্রমাণীকরণ স্তর Guest WiFi সমাধানগুলির সাথে একত্রিত হয়ে দর্শকদের জন্য নির্বিঘ্ন অ্যাক্সেস প্রদান করে, একই সাথে WiFi Analytics ক্যাপচার করে যা আপনার নেটওয়ার্ককে একটি ব্যবসায়িক বুদ্ধিমত্তা সম্পদে পরিণত করে।

প্রযুক্তিগত গভীর বিশ্লেষণ

802.1X স্থাপত্য

IEEE 802.1X স্ট্যান্ডার্ড পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল (PNAC) সংজ্ঞায়িত করে। একটি ওয়্যারলেস প্রসঙ্গে, এটি তিনটি প্রাথমিক ভূমিকা নিয়ে গঠিত যা একসাথে কাজ করে:

ভূমিকা	উপাদান	দায়িত্ব
সাপ্লিক্যান্ট	ক্লায়েন্ট ডিভাইস (ল্যাপটপ, স্মার্টফোন)	নেটওয়ার্ক অ্যাক্সেসের অনুরোধ করার জন্য প্রমাণপত্র উপস্থাপন করে
প্রমাণীকরণকারী	WiFi অ্যাক্সেস পয়েন্ট বা কন্ট্রোলার	অ্যাক্সেস নিয়ন্ত্রণ প্রয়োগ করে; EAP বার্তা রিলে করে
প্রমাণীকরণ সার্ভার	RADIUS সার্ভার	প্রমাণপত্র যাচাই করে; গ্রহণ/প্রত্যাখ্যান এবং নীতি বৈশিষ্ট্য ফেরত দেয়

যখন একটি সাপ্লিক্যান্ট একটি অ্যাক্সেস পয়েন্টের সাথে যুক্ত হয়, তখন AP EAP (Extensible Authentication Protocol) বার্তা ব্যতীত সমস্ত ডেটা ট্র্যাফিক ব্লক করে। AP এই EAP বার্তাগুলিকে RADIUS প্যাকেটে এনক্যাপসুলেট করে এবং RADIUS সার্ভারে ফরোয়ার্ড করে। সার্ভার একটি ব্যাকএন্ড ডেটাবেসের বিরুদ্ধে প্রমাণপত্র যাচাই করে — সাধারণত LDAP বা Active Directory — এবং একটি Access-Accept বা Access-Reject বার্তা ফেরত দেয়। যদি গৃহীত হয়, AP পোর্টটি আনব্লক করে এবং ক্লায়েন্টের ট্র্যাফিক অবাধে প্রবাহিত হয়।

একটি EAP পদ্ধতি নির্বাচন করা

আপনার RADIUS স্থাপনার নিরাপত্তা নির্বাচিত EAP পদ্ধতির উপর অনেক বেশি নির্ভর করে। এন্টারপ্রাইজ স্থাপনায় সবচেয়ে প্রচলিত দুটি হল:

EAP-TLS (Transport Layer Security) হল স্বর্ণমান। এটির জন্য RADIUS সার্ভার এবং প্রতিটি ক্লায়েন্ট ডিভাইস উভয় ক্ষেত্রেই ডিজিটাল সার্টিফিকেট প্রয়োজন, যা পাসওয়ার্ড সম্পূর্ণরূপে বাদ দেয়। এমনকি যদি একজন আক্রমণকারী সম্পূর্ণ প্রমাণীকরণ বিনিময় ক্যাপচার করে, তবে নিষ্কাশন করার মতো কোনো প্রমাণপত্র থাকে না। আপসটি হল প্রশাসনিক ওভারহেড: ক্লায়েন্ট সার্টিফিকেট স্থাপন এবং পরিচালনা করার জন্য একটি কার্যকরী পাবলিক কী ইনফ্রাস্ট্রাকচার (PKI) এবং এন্ডপয়েন্টগুলিতে সার্টিফিকেট বিতরণের জন্য একটি MDM সমাধান (যেমন, Microsoft Intune, Jamf) প্রয়োজন।

PEAP-MSCHAPv2 (Protected EAP) হল অনুশীলনে সবচেয়ে ব্যাপকভাবে ব্যবহৃত পদ্ধতি। এটি একটি সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে একটি এনক্রিপ্ট করা TLS টানেল স্থাপন করে, যার ভিতরে ক্লায়েন্ট একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড দিয়ে প্রমাণীকরণ করে। এটি EAP-TLS এর চেয়ে উল্লেখযোগ্যভাবে সহজে স্থাপন করা যায় কারণ শুধুমাত্র একটি সার্টিফিকেট — সার্ভারের — পরিচালনা করতে হয়। তবে, এটি একটি গুরুত্বপূর্ণ সতর্কতা বহন করে: যদি ক্লায়েন্ট ডিভাইসগুলি RADIUS সার্ভারের সার্টিফিকেট যাচাই করার জন্য স্পষ্টভাবে কনফিগার করা না হয়, তবে তারা দুর্বৃত্ত অ্যাক্সেস পয়েন্টের মাধ্যমে Man-in-the-Middle (MitM) আক্রমণের শিকার হতে পারে।

> গুরুত্বপূর্ণ নিরাপত্তা নোট: ক্লায়েন্ট ডিভাইসে কঠোর সার্টিফিকেট যাচাইকরণ প্রয়োগ করতে ব্যর্থ হলে PEAP-MSCHAPv2 এর নিরাপত্তা সুবিধাগুলি কার্যকরভাবে বাতিল হয়ে যায়। একজন আক্রমণকারী একটি দুর্বৃত্ত AP স্থাপন করতে পারে, একটি জালিয়াতিপূর্ণ সার্টিফিকেট উপস্থাপন করতে পারে এবং প্লেইনটেক্সটে ব্যবহারকারীর প্রমাণপত্র ক্যাপচার করতে পারে। এটি একটি তাত্ত্বিক ঝুঁকি নয় — এটি একটি সু-নথিভুক্ত আক্রমণ ভেক্টর যা বাস্তব-বিশ্বের পরিবেশে ব্যবহার করা হয়েছে।

বাস্তবায়ন নির্দেশিকা

ধাপ 1: স্থাপত্যগত সিদ্ধান্ত — অন-প্রেমিস বনাম ক্লাউড RADIUS

প্রথম সিদ্ধান্ত হল RADIUS পরিকাঠামো কোথায় হোস্ট করা হবে। এটি মূলত একটি অপারেশনাল এবং খরচের প্রশ্ন, নিরাপত্তার প্রশ্ন নয় — উভয় মডেলই নিরাপদে স্থাপন করা যেতে পারে।

অন-প্রেমিস RADIUS (যেমন, Microsoft NPS, FreeRADIUS, Cisco ISE) এমন সংস্থাগুলির জন্য উপযুক্ত যাদের নিবেদিত আইটি কর্মী, বিদ্যমান অন-প্রেমিস ডিরেক্টরি পরিকাঠামো এবং কঠোর ডেটা সার্বভৌমত্ব বা সম্মতি প্রয়োজনীয়তা রয়েছে। এটি প্রমাণীকরণের জন্য ইন্টারনেট সংযোগের উপর নির্ভর করে না, যা এমন পরিবেশের জন্য একটি অর্থপূর্ণ সুবিধা যেখানে ইন্টারনেটের আপটাইম নিশ্চিত করা যায় না।

ক্লাউড RADIUS ক্রমবর্ধমানভাবে বিতরণ করা পরিবেশের জন্য পছন্দের মডেল — Retail চেইন, Hospitality গ্রুপ এবং Transport হাব যেখানে প্রতিটি স্থানে সার্ভার স্থাপন করা অপারেশনালভাবে অবাস্তব। ক্লাউড RADIUS ক্লাউড আইডেন্টিটি প্রোভাইডার (Azure AD, Google Workspace, Okta) এর সাথে নেটিভভাবে একত্রিত হয় এবং বিল্ট-ইন উচ্চ প্রাপ্যতা ও বৈশ্বিক স্কেলেবিলিটি প্রদান করে।

ধাপ 2: RADIUS সার্ভার ইনস্টল এবং কনফিগার করুন

Microsoft NPS (উইন্ডোজ-কেন্দ্রিক পরিবেশে সবচেয়ে সাধারণ পছন্দ) ব্যবহার করে একটি অন-প্রেমিস স্থাপনার জন্য:

সার্ভার ম্যানেজার এর মাধ্যমে নেটওয়ার্ক পলিসি সার্ভার রোল ইনস্টল করুন।
ব্যবহারকারীর ডায়াল-ইন বৈশিষ্ট্যগুলি পড়ার অনুমতি দেওয়ার জন্য Active Directory-তে NPS সার্ভারটি নিবন্ধন করুন।
প্রতিটি অ্যাক্সেস পয়েন্ট বা ওয়্যারলেস কন্ট্রোলারের জন্য একটি RADIUS ক্লায়েন্ট এন্ট্রি তৈরি করুন, AP-এর IP ঠিকানা উল্লেখ করে এবংএকটি শক্তিশালী, অনন্য Shared Secret দিন।
অ্যাক্সেসের জন্য শর্তাবলী (যেমন, ব্যবহারকারী গ্রুপ সদস্যপদ) এবং সীমাবদ্ধতা (যেমন, EAP পদ্ধতি, সেশন টাইমআউট) সংজ্ঞায়িত করে একটি Network Policy কনফিগার করুন।
স্থানীয়ভাবে অনুরোধগুলি প্রক্রিয়া করার জন্য Connection Request Policy কনফিগার করুন।

Linux-এ FreeRADIUS এর জন্য:

প্যাকেজ ম্যানেজার এর মাধ্যমে ইনস্টল করুন: sudo apt-get install freeradius freeradius-ldap।
RADIUS ক্লায়েন্ট (APs) এবং তাদের shared secrets সংজ্ঞায়িত করতে /etc/freeradius/3.0/clients.conf কনফিগার করুন।
আপনার Active Directory বা LDAP সার্ভারের দিকে নির্দেশ করার জন্য /etc/freeradius/3.0/mods-available/ldap-এ LDAP মডিউল কনফিগার করুন।
LDAP মডিউল সক্রিয় করুন: sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/।
/etc/freeradius/3.0/mods-available/eap-এ EAP পদ্ধতিগুলি সংজ্ঞায়িত করুন।

ধাপ 3: অ্যাক্সেস পয়েন্ট কনফিগার করুন

আপনার ওয়্যারলেস কন্ট্রোলার বা স্বতন্ত্র অ্যাক্সেস পয়েন্টগুলিতে:

RADIUS সার্ভার IP ঠিকানা(গুলি) এবং প্রমাণীকরণ পোর্ট (ডিফল্ট: UDP 1812) সংজ্ঞায়িত করুন।
Shared Secret কনফিগার করুন — কমপক্ষে 22টি অক্ষর ব্যবহার করুন, যার মধ্যে আলফানিউমেরিক এবং বিশেষ অক্ষর মিশ্রিত থাকবে। প্রতিটি অবস্থান বা AP গ্রুপের জন্য একটি অনন্য গোপনীয়তা ব্যবহার করুন।
802.1X কী ম্যানেজমেন্ট সহ WPA2-Enterprise বা WPA3-Enterprise নিরাপত্তা মোড ব্যবহার করার জন্য SSID কনফিগার করুন।
ফেইলওভারের জন্য একটি সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন।

ধাপ 4: ডিরেক্টরি ইন্টিগ্রেশন

অন-প্রিমিজ AD ইন্টিগ্রেশনের জন্য, RADIUS সার্ভারকে ডোমেইনে যুক্ত থাকতে হবে অথবা LDAP রিড অ্যাক্সেস থাকতে হবে। নিশ্চিত করুন যে LDAP বাইন্ডিংয়ের জন্য ব্যবহৃত পরিষেবা অ্যাকাউন্টগুলির ন্যূনতম প্রয়োজনীয় অনুমতি রয়েছে। ক্লাউড RADIUS-এর জন্য, আপনার IdP-এর সাথে API-ভিত্তিক সিঙ্ক্রোনাইজেশন বা SAML/OIDC ইন্টিগ্রেশন কনফিগার করুন।

আপনার ডিরেক্টরিতে স্পষ্ট ব্যবহারকারী গ্রুপ সংজ্ঞায়িত করুন, কারণ এগুলি অনুমোদন নীতিগুলি পরিচালনা করবে। প্রস্তাবিত গ্রুপ কাঠামো:

গ্রুপ	VLAN	অ্যাক্সেস স্তর
`Corp_Staff`	VLAN 10	সম্পূর্ণ অভ্যন্তরীণ নেটওয়ার্ক
`Corp_Contractors`	VLAN 20	ইন্টারনেট + নির্দিষ্ট অভ্যন্তরীণ সংস্থান
`Corp_IoT`	VLAN 30	বিচ্ছিন্ন, শুধুমাত্র ডিভাইস-নির্দিষ্ট পোর্ট
`Corp_Guests`	VLAN 100	Captive Portal এর মাধ্যমে শুধুমাত্র ইন্টারনেট

ধাপ 5: ক্লায়েন্ট কনফিগারেশন এবং সার্টিফিকেট যাচাইকরণ

এটি সবচেয়ে গুরুত্বপূর্ণ অপারেশনাল ধাপ। Windows-এর জন্য Group Policy (GPO) এবং macOS/iOS/Android-এর জন্য MDM প্রোফাইল ব্যবহার করে পরিচালিত ডিভাইসগুলিতে WiFi কনফিগারেশনগুলি নীরবে পুশ করুন। প্রোফাইলটিতে অবশ্যই উল্লেখ করতে হবে:

Root CA যা RADIUS সার্ভারের সার্টিফিকেট ইস্যু করেছে।
প্রত্যাশিত সার্ভারের নাম (সার্ভার সার্টিফিকেটের CN বা SAN)।
EAP পদ্ধতি এবং অভ্যন্তরীণ প্রমাণীকরণ প্রোটোকল।

অপরিচালিত BYOD ডিভাইসগুলির জন্য, স্পষ্ট স্ব-পরিষেবা অনবোর্ডিং নির্দেশাবলী প্রদান করুন, আদর্শভাবে একটি Network Access Control (NAC) পোর্টালের মাধ্যমে।

ধাপ 6: ডাইনামিক VLAN অ্যাসাইনমেন্ট বাস্তবায়ন করুন

RADIUS সার্ভারকে Access-Accept প্রতিক্রিয়ায় VLAN অ্যাসাইনমেন্ট অ্যাট্রিবিউটগুলি ফেরত দেওয়ার জন্য কনফিগার করুন:

Tunnel-Type = VLAN (13)
Tunnel-Medium-Type = IEEE-802 (6)
Tunnel-Private-Group-Id = ``

অ্যাক্সেস পয়েন্ট এই অ্যাট্রিবিউটগুলি পড়ে এবং প্রমাণীকৃত ক্লায়েন্টকে নির্দিষ্ট VLAN-এ রাখে — ব্যবহারকারীরা ভূমিকা বা অবস্থান পরিবর্তন করলেও কোনো ম্যানুয়াল রিকনফিগারেশনের প্রয়োজন হয় না।

সেরা অনুশীলন

রিডানডেন্সি অপরিহার্য। কমপক্ষে দুটি RADIUS সার্ভার (প্রাথমিক এবং মাধ্যমিক) স্থাপন করুন এবং সমস্ত অ্যাক্সেস পয়েন্টকে স্বয়ংক্রিয়ভাবে ফেইলওভার করার জন্য কনফিগার করুন। অন-প্রিমিজ স্থাপনার জন্য, সেকেন্ডারি সার্ভারটিকে একটি ভিন্ন ভৌগোলিক অবস্থান বা অ্যাভেইলেবিলিটি জোনে রাখার কথা বিবেচনা করুন। একটি RADIUS বিভ্রাট মানে কেউ প্রমাণীকরণ করতে পারবে না, যা 802.1X-সুরক্ষিত SSIDs-এর জন্য একটি সম্পূর্ণ নেটওয়ার্ক বিভ্রাট।

সার্টিফিকেট মেয়াদোত্তীর্ণ হওয়া সক্রিয়ভাবে নিরীক্ষণ করুন। একটি RADIUS সার্ভার সার্টিফিকেটের মেয়াদোত্তীর্ণ হওয়া হঠাৎ, ব্যাপক প্রমাণীকরণ ব্যর্থতার অন্যতম সাধারণ কারণ। মেয়াদোত্তীর্ণ হওয়ার কমপক্ষে 30 দিন আগে প্রশাসকদের সতর্ক করার জন্য মনিটরিং বাস্তবায়ন করুন। এটি সার্ভার সার্টিফিকেট এবং চেইনের যেকোনো মধ্যবর্তী CA সার্টিফিকেটের ক্ষেত্রে প্রযোজ্য।

Shared Secret-কে একটি গুরুত্বপূর্ণ প্রমাণপত্র হিসাবে বিবেচনা করুন। AP এবং RADIUS সার্ভারের মধ্যে Shared Secret RADIUS প্যাকেটগুলিকে এনক্রিপ্ট করে। প্রতিটি অবস্থান বা AP গ্রুপের জন্য অনন্য গোপনীয়তা ব্যবহার করুন, সেগুলিকে একটি সিক্রেটস ম্যানেজারে সংরক্ষণ করুন এবং পর্যায়ক্রমে ঘোরান। বৃহত্তর নেটওয়ার্ক নিরাপত্তা স্বাস্থ্যবিধি সুপারিশের জন্য Protect Your Network with Strong DNS and Security সম্পর্কিত আমাদের নির্দেশিকা দেখুন।

কমপ্লায়েন্স ফ্রেমওয়ার্কের সাথে সারিবদ্ধ হন। PCI DSS (যেমন, খুচরা পেমেন্ট নেটওয়ার্ক) এর অধীন পরিবেশের জন্য, 802.1X প্রমাণীকরণ সরাসরি নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণ এবং অডিট লগিংয়ের প্রয়োজনীয়তাগুলিকে সমর্থন করে। GDPR কমপ্লায়েন্সের জন্য, RADIUS অ্যাকাউন্টিং লগ (পোর্ট 1813) কে নেটওয়ার্ক অ্যাক্সেস করেছে, কোথা থেকে এবং কখন করেছে তার একটি বিস্তারিত অডিট ট্রেইল প্রদান করে — যা ঘটনা প্রতিক্রিয়ার জন্য মূল্যবান। Healthcare পরিবেশের জন্য, ডাইনামিক VLAN অ্যাসাইনমেন্টের মাধ্যমে নেটওয়ার্ক সেগমেন্টেশন ইলেকট্রনিক সুরক্ষিত স্বাস্থ্য তথ্য (ePHI) সুরক্ষার জন্য HIPAA প্রয়োজনীয়তাগুলিকে সমর্থন করে।

সমস্যা সমাধান ও ঝুঁকি প্রশমন

ব্যর্থতার ধরণ	লক্ষণ	সমাধান
সার্টিফিকেট মেয়াদোত্তীর্ণ	হঠাৎ ব্যাপক প্রমাণীকরণ ব্যর্থতা	মেয়াদোত্তীর্ণ হওয়া নিরীক্ষণ করুন; সার্টিফিকেট নবায়ন ও পুনরায় স্থাপন করুন
NTP ডিসিঙ্ক্রোনাইজেশন	মাঝে মাঝে EAP-TLS ব্যর্থতা	নিশ্চিত করুন যে RADIUS সার্ভার এবং DC গুলি একই NTP উৎসের সাথে সিঙ্ক হচ্ছে
LDAP সংযোগ বিচ্ছিন্ন	AD পৌঁছানো না গেলে প্রমাণীকরণ ব্যর্থ হয়	রিডানড্যান্ট DC স্থাপন করুন; সাম্প্রতিক প্রমাণীকরণ ক্যাশ করার জন্য RADIUS কনফিগার করুন
ভুল Shared Secret	AP লগগুলিতে `RADIUS timeout` বা `Bad authenticator` দেখায়	AP এবং RADIUS সার্ভার উভয় স্থানে গোপনীয়তা মিলেছে কিনা যাচাই করুন
ক্লায়েন্ট সার্টিফিকেট অমিল	নির্দিষ্ট ডিভাইসের জন্য EAP-TLS ব্যর্থতা	ক্লায়েন্ট সার্টিফিকেট বিশ্বস্ত CA দ্বারা ইস্যু করা হয়েছে কিনা যাচাই করুন; সার্টিফিকেটের বৈধতার সময়কাল পরীক্ষা করুন
VLAN অ্যাসাইন করা হয়নি	ব্যবহারকারী প্রমাণীকৃত কিন্তু ভুল নেটওয়ার্ক সেগমেন্টে	RADIUS অ্যাট্রিবিউটগুলি সঠিকভাবে ফেরত আসছে কিনা যাচাই করুন; AP VLAN কনফিগারেশন পরীক্ষা করুন

802.1X কনফিগারেশন প্রক্রিয়া সম্পর্কে আরও গভীরভাবে জানতে, How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide বিস্তারিত, বিক্রেতা-নির্দিষ্ট কনফিগারেশন ওয়াকথ্রু প্রদান করে।

ROI এবং ব্যবসায়িক প্রভাব

PSK থেকে R-এ রূপান্তরADIUS-backed 802.1X এর জন্য কনফিগারেশনে প্রাথমিক বিনিয়োগের প্রয়োজন হয়, এবং সম্ভবত ক্লাউড সমাধানের জন্য লাইসেন্সিং বা অন-প্রিমিজ স্থাপনার জন্য হার্ডওয়্যার প্রয়োজন হতে পারে। ROI (বিনিয়োগের উপর প্রতিদান) এর বিষয়টি সহজবোধ্য:

ঝুঁকি প্রশমন: যুক্তরাজ্যে একটি ডেটা লঙ্ঘনের গড় খরচ £3 মিলিয়ন ছাড়িয়ে যায় (IBM Cost of a Data Breach Report)। একটি আপোসকৃত PSK পুরো নেটওয়ার্ককে উন্মুক্ত করতে পারে। 802.1X বিস্ফোরণের ব্যাসার্ধকে একটি একক আপোসকৃত ব্যবহারকারী অ্যাকাউন্টে সীমাবদ্ধ করে, যা ডিরেক্টরির মাধ্যমে কয়েক সেকেন্ডের মধ্যে নিষ্ক্রিয় করা যেতে পারে।

কার্যকরী দক্ষতা: ডাইনামিক VLAN অ্যাসাইনমেন্ট কর্মীদের ভূমিকা পরিবর্তনের সাথে সাথে ম্যানুয়াল নেটওয়ার্ক পুনর্গঠনের প্রয়োজনীয়তা দূর করে। একজন নতুন কর্মচারীকে অনবোর্ড করার অর্থ হল তাদের সঠিক AD গ্রুপে যুক্ত করা — নেটওয়ার্ক অ্যাক্সেস স্বয়ংক্রিয়ভাবে অনুসরণ করে।

কমপ্লায়েন্স অবস্থান: PCI DSS, ISO 27001, বা Cyber Essentials Plus এর অধীন সংস্থাগুলির জন্য, 802.1X একটি সরাসরি নিয়ন্ত্রণ যা নিরীক্ষকরা দেখতে চান। এটি স্থাপন করা আপনার কমপ্লায়েন্স অবস্থানকে শক্তিশালী করে এবং নিরীক্ষা প্রতিকার খরচ কমায়।

অতিথি অভিজ্ঞতা এবং বিশ্লেষণ: ভেন্যু অপারেটরদের জন্য, কর্মীদের প্রমাণীকরণের জন্য RADIUS কে Purple এর Guest WiFi প্ল্যাটফর্মের সাথে ভিজিটর অ্যাক্সেসের জন্য একত্রিত করা একটি সমন্বিত, স্তরযুক্ত অ্যাক্সেস মডেল তৈরি করে। কর্মীরা 802.1X এর মাধ্যমে নীরবে প্রমাণীকরণ করে; অতিথিরা একটি ব্র্যান্ডেড Captive Portal এর মাধ্যমে সংযুক্ত হয়। Purple এর WiFi Analytics প্ল্যাটফর্ম তারপর ভিজিটরদের অবস্থানের সময়, পুনরাবৃত্ত পরিদর্শনের হার এবং এনগেজমেন্ট মেট্রিক্স সম্পর্কে রিয়েল-টাইম দৃশ্যমানতা প্রদান করে — এই ডেটা সরাসরি বিপণন ব্যয় এবং ভেন্যু পরিচালনার সিদ্ধান্তগুলিকে প্রভাবিত করে।

আরও পড়ার জন্য, পর্তুগিজ ভাষার বাস্তবায়ন নির্দেশনার জন্য Como Configurar a Autenticação 802.1X WiFi: Um Guia Passo a Passo দেখুন, এবং অন্তর্নিহিত সংযোগ এন্টারপ্রাইজ প্রয়োজনীয়তা পূরণ করে তা নিশ্চিত করার নির্দেশনার জন্য What Is a Leased Line? Dedicated Business Internet দেখুন।

GuidesSlugPage.keyDefinitionsTitle

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol providing centralised Authentication, Authorization, and Accounting (AAA) management for users connecting to a network service. Defined in RFC 2865.

The core server component that validates user credentials against a directory before granting WiFi access. Every enterprise WiFi deployment using 802.1X requires a RADIUS server.

802.1X

An IEEE Standard for port-based Network Access Control (PNAC). It provides an authentication mechanism to devices wishing to attach to a LAN or WLAN, blocking all non-EAP traffic until authentication succeeds.

The overarching framework standard that defines how the Supplicant, Authenticator, and Authentication Server communicate. When IT teams refer to 'enterprise WiFi security', they typically mean WPA2/WPA3-Enterprise with 802.1X.

Supplicant

The client device — or more precisely, the 802.1X software stack on that device — that initiates the authentication process by presenting credentials to the network.

On Windows, the built-in supplicant is the Wireless AutoConfig service. On macOS and iOS, it is native to the OS. Ensuring the supplicant is correctly configured (especially for certificate validation) is the most common source of deployment issues.

Authenticator

The network device — typically a WiFi access point or wireless controller — that acts as an intermediary between the Supplicant and the RADIUS server, enforcing access control based on the authentication result.

The AP blocks all data traffic on the port until it receives an Access-Accept from the RADIUS server. It also reads RADIUS attributes (e.g., VLAN assignment) from the Access-Accept response and applies them to the session.

EAP (Extensible Authentication Protocol)

An authentication framework defined in RFC 3748 that provides a standardised transport mechanism for various authentication methods (TLS, PEAP, TTLS, etc.) between the Supplicant and the Authentication Server.

EAP is the 'language' spoken between the client and the RADIUS server. The choice of EAP method (EAP-TLS vs PEAP) determines the security strength and deployment complexity of the authentication system.

PEAP (Protected EAP)

An EAP method that first establishes a TLS tunnel using the server's certificate, then performs a secondary authentication (typically MSCHAPv2 with username/password) inside that encrypted tunnel.

The most common enterprise WiFi authentication method due to its balance of security and deployment simplicity. Requires only a server-side certificate, making it far easier to roll out than EAP-TLS.

Dynamic VLAN Assignment

A RADIUS feature where the server includes VLAN-specific attributes (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) in the Access-Accept response, instructing the AP to place the authenticated client on a specific VLAN.

Enables a single SSID to serve multiple user populations with different security requirements. Eliminates the need to broadcast multiple SSIDs for different user groups, reducing RF overhead and simplifying the user experience.

Shared Secret

A pre-configured text string known only to the Authenticator (AP) and the RADIUS server, used to sign and encrypt RADIUS packets, ensuring the integrity and authenticity of the communication.

A critical security configuration element. If the shared secret is weak or compromised, an attacker could forge RADIUS Access-Accept responses, granting unauthorised network access. Use unique secrets per location and store them in a secrets manager.

MAC Authentication Bypass (MAB)

A fallback authentication mechanism where a device's MAC address is used as its identity credential, enabling network access for devices that do not support 802.1X supplicants.

Used for headless devices (printers, IoT sensors, IP cameras). Because MAC addresses are publicly visible and easily spoofed, MAB provides device identification rather than strong authentication. Always pair with restrictive VLAN assignment.

GuidesSlugPage.workedExamplesTitle

A national retail chain with 500 locations needs to implement secure WiFi for store managers' tablets and POS terminals. They currently use a single PSK across all stores, which is frequently shared with unauthorized staff and contractors. They use Azure AD for identity management and have no dedicated IT staff at branch locations.

Deploy a Cloud RADIUS solution integrated directly with Azure AD. This eliminates the need to deploy and manage on-premise RADIUS servers at 500 locations. The IT team uses Microsoft Intune to push a WiFi profile to all store managers' tablets and POS terminals configured for PEAP-MSCHAPv2, strictly enforcing validation of the Cloud RADIUS server's certificate. The Cloud RADIUS policy checks the user's Azure AD group membership before granting access: 'Store_Managers' group receives VLAN 10 (full POS and back-office access), 'Contractors' group receives VLAN 20 (internet-only). When a contractor's engagement ends, removing them from the Azure AD group immediately revokes their WiFi access across all 500 locations simultaneously — no PSK change required.

GuidesSlugPage.examinerCommentary This approach addresses the core vulnerability (shared PSK) while acknowledging the operational constraints (no branch IT staff, Azure AD environment). Cloud RADIUS provides the necessary scalability and integrates natively with the existing identity provider. The use of dynamic VLAN assignment ensures that even if a contractor's device is on-site after their engagement ends, removing them from the directory group is the single action required to revoke access.

A 400-room city-centre hotel needs to provide secure WiFi for both staff (front desk, housekeeping, management) and guests. Staff require access to the property management system (PMS) and internal servers. Guests require internet access only. The hotel has a single on-premise Windows Server environment.

Deploy Microsoft NPS on a dedicated Windows Server VM. Configure two SSIDs on the wireless infrastructure: 'Hotel_Staff' (WPA2-Enterprise, 802.1X) and 'Hotel_Guest' (open or WPA2-Personal, redirecting to a captive portal). For the staff SSID, NPS validates credentials against Active Directory and returns dynamic VLAN assignments: 'Management' AD group → VLAN 10 (full access), 'FrontDesk' → VLAN 20 (PMS access), 'Housekeeping' → VLAN 30 (internet + scheduling app only). For guests, integrate the captive portal with Purple's Guest WiFi platform to provide a branded login experience, collect first-party data (email, marketing consent), and gain analytics on dwell time and repeat visits. The two-SSID model keeps staff and guest traffic completely separated at the network layer.

GuidesSlugPage.examinerCommentary The two-SSID model is the correct approach here rather than a single SSID with complex policy routing. It provides clear operational separation and simplifies troubleshooting. Integrating Purple for the guest SSID is the commercially intelligent decision: it converts the guest network from a cost centre into a data capture and marketing channel, with measurable ROI through repeat visit rates and email marketing engagement.

GuidesSlugPage.practiceQuestionsTitle

Q1. Your organisation is migrating 2,000 Windows laptops from a shared PSK to 802.1X with PEAP-MSCHAPv2. Your security team flags that PEAP is vulnerable to credential harvesting via rogue access points. What is the single most important configuration step to mitigate this risk, and how do you deploy it at scale?

GuidesSlugPage.hintPrefixConsider what prevents a client from trusting a fraudulent RADIUS server presenting a self-signed certificate.

GuidesSlugPage.viewModelAnswer

The critical step is enforcing strict server certificate validation on every client device. Using Group Policy Objects (GPO), push a WiFi profile to all 2,000 laptops that specifies: (1) the exact Root CA certificate that issued the RADIUS server's certificate, (2) the expected server name (CN/SAN), and (3) that the client must not prompt the user to trust new certificates. This ensures that even if an attacker deploys a rogue AP with a fraudulent certificate, the client will reject the TLS handshake and refuse to send credentials. Without this configuration, PEAP provides no meaningful protection against rogue AP attacks.

Q2. A hospital IT director needs to provide network access for 300 medical IoT devices (infusion pumps, monitoring equipment) that do not support 802.1X. These devices sit alongside staff workstations on the same wireless infrastructure. How should the RADIUS infrastructure handle these devices, and what network controls must be in place?

GuidesSlugPage.hintPrefixThink about the authentication method available for headless devices and how to compensate for its inherent weakness.

GuidesSlugPage.viewModelAnswer

Configure MAC Authentication Bypass (MAB) on the RADIUS server for these specific devices. Register each device's MAC address in a dedicated Active Directory group or RADIUS database. Because MAC addresses are easily spoofed, the RADIUS server must use Dynamic VLAN Assignment to place all MAB-authenticated devices onto a dedicated, highly restricted VLAN (e.g., VLAN 30 - IoT). This VLAN should be firewalled to allow communication only with specific medical server IP addresses and block all other traffic, including internet access and lateral movement to staff VLANs. Staff workstations authenticate via 802.1X and are placed on a separate VLAN. This architecture satisfies HIPAA network segmentation requirements for ePHI-adjacent devices.

Q3. You are the network architect for a 50-venue restaurant chain. Authentication is working correctly at 49 venues using Cloud RADIUS, but one specific venue reports that all devices fail to authenticate. The Cloud RADIUS management portal shows zero authentication requests arriving from that venue. What is your diagnostic approach?

GuidesSlugPage.hintPrefixIf the RADIUS server is receiving no requests at all, the problem is in the communication path between the Authenticator and the server — not in the authentication logic itself.

GuidesSlugPage.viewModelAnswer

Since the RADIUS server is receiving zero requests from this venue, the fault lies between the access points and the cloud RADIUS server. Diagnostic steps in order: (1) Verify the RADIUS server IP address and port (UDP 1812) configured on the venue's APs or wireless controller — a typo here is the most common cause. (2) Check the local firewall or router rules at that venue to confirm outbound UDP 1812 traffic is permitted to the cloud RADIUS IP range. (3) Verify the Shared Secret configured on the APs matches the secret configured for that venue in the Cloud RADIUS portal — a mismatch causes the RADIUS server to silently discard packets. (4) Check if the venue's internet connection is functioning — cloud RADIUS requires reliable internet connectivity. Running a packet capture on the AP or upstream router will confirm whether RADIUS packets are being sent and whether responses are being received.