मुख्य सामग्री पर जाएं
हिन्दी

On-Premises RADIUS (NPS) से RADIUS as a Service में माइग्रेट करना

यह आधिकारिक गाइड ऑन-प्रिमाइसेस Microsoft Network Policy Server (NPS) से क्लाउड-नेटिव RADIUS as a Service मॉडल में माइग्रेट करने के तकनीकी आर्किटेक्चर, कार्यान्वयन पद्धति और व्यावसायिक प्रभाव का विवरण देती है। यह IT लीडर्स और नेटवर्क आर्किटेक्ट्स को परिचालन ओवरहेड को कम करने, सिंगल पॉइंट्स ऑफ़ फेलियर को समाप्त करने और वितरित स्थानों पर एंटरप्राइज़ प्रमाणीकरण को सुरक्षित करने के लिए व्यावहारिक फ्रेमवर्क प्रदान करती है।

📖 5 मिनट का पाठ📝 1,066 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
पॉडकास्ट स्क्रिप्ट: ऑन-प्रिमाइसेस RADIUS (NPS) से RADIUS as a Service में माइग्रेट करना अवधि: ~10 मिनट | आवाज: यूके अंग्रेजी, पुरुष, वरिष्ठ सलाहकार टोन --- खंड 1: परिचय और संदर्भ Purple WiFi तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। आज हम एक ऐसे माइग्रेशन से निपट रहे हैं जो इस समय बड़ी संख्या में एंटरप्राइज़ IT टीमों के रोडमैप पर है: ऑन-प्रिमाइसेस RADIUS — विशेष रूप से Microsoft के Network Policy Server — से क्लाउड-होस्टेड RADIUS as a Service मॉडल पर जाना। यदि आप किसी होटल समूह, रिटेल एस्टेट, स्टेडियम या सार्वजनिक क्षेत्र के परिसर में WiFi प्रमाणीकरण का प्रबंधन कर रहे हैं, तो यह सीधे आपके लिए प्रासंगिक है। ऑन-प्रिमाइसेस NPS मॉडल ने लगभग दो दशकों तक हमारी अच्छी सेवा की है, लेकिन परिचालन ओवरहेड, सिंगल-पॉइंट-ऑफ-फेलियर जोखिम और स्केलिंग सीमाओं को सही ठहराना कठिन होता जा रहा है — विशेष रूप से तब जब क्लाउड-नेटिव विकल्प अब कुल स्वामित्व लागत के एक अंश पर एंटरप्राइज़-ग्रेड विश्वसनीयता प्रदान करते हैं। अगले दस मिनटों में, हम दोनों दृष्टिकोणों के तकनीकी आर्किटेक्चर को कवर करेंगे, एक संरचित माइग्रेशन पद्धति के माध्यम से चलेंगे, दो वास्तविक दुनिया के कार्यान्वयन परिदृश्यों को देखेंगे, और उन प्रमुख निर्णय फ्रेमवर्क के साथ समाप्त करेंगे जिनकी आपको आत्मविश्वास से यह निर्णय लेने के लिए आवश्यकता है। आइए शुरू करते हैं। --- खंड 2: तकनीकी गहन विश्लेषण सबसे पहले, आइए सुनिश्चित करें कि हम इस बात पर संरेखित हैं कि RADIUS वास्तव में आपके नेटवर्क स्टैक में क्या करता है। RADIUS — Remote Authentication Dial-In User Service — RFC 2865 में परिभाषित प्रोटोकॉल है जो नेटवर्क एक्सेस के लिए प्रमाणीकरण, प्राधिकरण और लेखांकन को संभालता है। WiFi के संदर्भ में, यह IEEE 802.1X पोर्ट-आधारित एक्सेस कंट्रोल की रीढ़ है। जब कोई डिवाइस WPA2-Enterprise या WPA3-Enterprise SSID से कनेक्ट होता है, तो एक्सेस पॉइंट एक RADIUS क्लाइंट के रूप में कार्य करता है — जिसे हम Network Access Server कहते हैं — और प्रमाणीकरण अनुरोध को RADIUS सर्वर पर भेजता है। सर्वर क्रेडेंशियल्स को मान्य करता है, आमतौर पर Active Directory या LDAP निर्देशिका के विरुद्ध, और Access-Accept या Access-Reject प्रतिक्रिया देता है। यह मूल प्रवाह है। अब, ऑन-प्रिमाइसेस NPS मॉडल में — Network Policy Server, Windows Server के साथ बंडल किया गया Microsoft का RADIUS कार्यान्वयन है — आप उस प्रमाणीकरण तर्क को अपने स्वामित्व वाले हार्डवेयर पर, डेटा सेंटर या सर्वर रूम में चला रहे हैं जिसे आप बनाए रखते हैं। NPS सर्वर आपकी नेटवर्क नीतियों, EAP-TLS या PEAP-MSCHAPv2 के लिए आपके प्रमाणपत्र इंफ्रास्ट्रक्चर और आपके कनेक्शन अनुरोध नीतियों को रखता है। यह काम करता है। यह परिपक्व है। लेकिन यह परिचालन वास्तविकताओं के एक सेट के साथ आता है जो समय के साथ जटिल हो जाती हैं। पहला हार्डवेयर निर्भरता है। आपका NPS सर्वर एक भौतिक या आभासी मशीन है जिसके लिए पैचिंग, क्षमता योजना और अंततः हार्डवेयर रिफ्रेश की आवश्यकता होती है। एक बहु-साइट परिनियोजन में — मान लीजिए, पूरे यूके में संपत्तियों वाला एक होटल समूह — आप या तो WAN निर्भरता के साथ एक केंद्रीकृत NPS चला रहे हैं, या आप प्रत्येक साइट पर NPS इंस्टेंस तैनात कर रहे हैं और उन्हें व्यक्तिगत रूप से प्रबंधित कर रहे हैं। दोनों में से कोई भी सुरुचिपूर्ण नहीं है। दूसरा उपलब्धता है। एक एकल NPS इंस्टेंस आपके संपूर्ण प्रमाणीकरण इंफ्रास्ट्रक्चर के लिए विफलता का एक एकल बिंदु है। हाँ, आप फ़ेलओवर जोड़ी में NPS तैनात कर सकते हैं, लेकिन यह आपके हार्डवेयर और लाइसेंसिंग ओवरहेड को दोगुना कर देता है, और यह अभी भी आपको वह भौगोलिक अतिरेक नहीं देता है जो एक क्लाउड सेवा मूल रूप से प्रदान करती है। तीसरा स्केलेबिलिटी है। NPS को कॉर्पोरेट LAN वातावरण के लिए डिज़ाइन किया गया था। जब आप किसी स्टेडियम इवेंट या कॉन्फ्रेंस सेंटर पीक के दौरान हजारों समवर्ती प्रमाणीकरण अनुरोधों को संभाल रहे होते हैं, तो एक एकल NPS इंस्टेंस की थ्रूपुट सीमाएं बहुत स्पष्ट हो जाती हैं। प्रमाणीकरण विलंबता बढ़ जाती है, और उपयोगकर्ताओं को ठीक उसी क्षण कनेक्शन विफलताओं का अनुभव होता है जब आप इसे बिल्कुल बर्दाश्त नहीं कर सकते। RADIUS as a Service इन तीनों बाधाओं को आर्किटेक्चरल रूप से संबोधित करता है। क्लाउड RADIUS प्रदाता RADIUS सर्वरों का एक वितरित, भू-अतिरेक क्लस्टर चलाता है। आपके एक्सेस पॉइंट्स ऑन-प्रिमाइसेस सर्वर के बजाय क्लाउड-होस्टेड RADIUS एंडपॉइंट्स की ओर इशारा करते हैं। प्रमाणीकरण अनुरोधों को क्लस्टर में लोड-बैलेंस किया जाता है, और फ़ेलओवर स्वचालित और पारदर्शी होता है। प्रदाता पैचिंग, क्षमता स्केलिंग और प्रमाणपत्र प्रबंधन को संभालता है। नेटवर्क ऑपरेटर के रूप में आपके दृष्टिकोण से, RADIUS एक प्रबंधित घटक के बजाय एक उपभोग की जाने वाली सेवा बन जाता है। प्रमाणीकरण प्रोटोकॉल स्वयं नहीं बदलते हैं। आप अभी भी अपने क्लाइंट डिवाइस मिश्रण के आधार पर EAP-TLS, PEAP-MSCHAPv2, या EAP-TTLS के साथ IEEE 802.1X चला रहे हैं। अंतर यह है कि RADIUS सर्वर कहाँ रहता है और इसकी परिचालन निरंतरता के लिए कौन जिम्मेदार है। यहाँ एक महत्वपूर्ण सुरक्षा विचार है जिसे मैं सीधे संबोधित करना चाहता हूँ, क्योंकि यह लगभग हर क्लाइंट बातचीत में आता है। RADIUS को क्लाउड पर ले जाने का मतलब है कि आपका प्रमाणीकरण ट्रैफ़िक क्लाउड RADIUS एंडपॉइंट तक पहुँचने के लिए सार्वजनिक इंटरनेट से गुजर रहा है। इसे दो तंत्रों के माध्यम से कम किया जाता है। पहला, Network Access Server और RADIUS सर्वर के बीच RADIUS ट्रैफ़िक को एक साझा रहस्य और MD5-आधारित संदेश प्रमाणीकरण का उपयोग करके सुरक्षित किया जाता है। दूसरा, और आधुनिक परिनियोजन के लिए अधिक महत्वपूर्ण, आपको RadSec — RADIUS over TLS, RFC 6614 में परिभाषित — चलाना चाहिए, जो संपूर्ण RADIUS बातचीत को एक TLS टनल में लपेटता है। यह आपको HTTPS के समकक्ष ट्रांसपोर्ट-लेयर एन्क्रिप्शन देता है, MD5 भेद्यता को समाप्त करता है और NAS और RADIUS सर्वर के बीच पारस्परिक प्रमाणीकरण प्रदान करता है। विचार करने योग्य किसी भी क्लाउड RADIUS प्रदाता को मानक के रूप में RadSec का समर्थन करना चाहिए। पहचान एकीकरण पक्ष पर, क्लाउड RADIUS सेवाएं आमतौर पर आपके ऑन-प्रिमाइसेस Active Directory में वापस LDAP और LDAPS कनेक्शन का समर्थन करती हैं, या SAML या SCIM के माध्यम से Azure Active Directory और Entra ID के साथ मूल एकीकरण का समर्थन करती हैं। इसका मतलब है कि आपको अपनी उपयोगकर्ता निर्देशिका को माइग्रेट करने की आवश्यकता नहीं है — क्लाउड RADIUS सेवा आपके मौजूदा पहचान स्टोर को क्वेरी करती है, जिससे आपकी मौजूदा उपयोगकर्ता जीवनचक्र प्रबंधन प्रक्रियाएं बनी रहती हैं। अनुपालन-सचेत संगठनों के लिए — और इसमें PCI DSS के तहत भुगतान कार्ड डेटा, या GDPR के तहत व्यक्तिगत डेटा को संभालने वाला कोई भी व्यक्ति शामिल है — क्लाउड RADIUS प्रदाता जो SOC 2 Type II प्रमाणित और ISO 27001 मान्यता प्राप्त हैं, वे अधिकांश संगठनों द्वारा स्व-प्रबंधित NPS इंफ्रास्ट्रक्चर के साथ प्राप्त की जा सकने वाली तुलना में अधिक मजबूत अनुपालन स्थिति प्रदान करते हैं। --- खंड 3: कार्यान्वयन सिफारिशें और नुकसान ठीक है, आइए बात करते हैं कि आप अपने प्रमाणीकरण इंफ्रास्ट्रक्चर को ऑफ़लाइन किए बिना वास्तव में इस माइग्रेशन को कैसे निष्पादित करते हैं। जिस पद्धति की मैं अनुशंसा करता हूँ वह पांच चरणों वाला दृष्टिकोण है। चरण एक ऑडिट और इन्वेंट्री है। प्रत्येक RADIUS क्लाइंट — प्रत्येक एक्सेस पॉइंट, प्रत्येक स्विच, प्रत्येक VPN कंसंट्रेटर — को उसके वर्तमान साझा रहस्य, उसके द्वारा उपयोग की जा रही EAP विधि और आपकी NPS नीतियों में किसी भी विक्रेता-विशिष्ट विशेषताओं के साथ प्रलेखित करें। यह बिना चमक-दमक वाला काम है, लेकिन इसे छोड़ना माइग्रेशन विफलताओं का नंबर एक कारण है। चरण दो पायलट परिनियोजन है। अपने क्लाउड RADIUS इंस्टेंस को खड़ा करें और उस पर एक गैर-उत्पादन SSID या एकल परीक्षण साइट को इंगित करें। सत्यापित करें कि आपकी EAP विधि शुरू से अंत तक काम करती है, कि आपका पहचान एकीकरण काम कर रहा है, और आपका लेखांकन डेटा सही ढंग से प्रवाहित हो रहा है। चरण तीन समानांतर संचालन है। यह महत्वपूर्ण जोखिम शमन कदम है। अपने एक्सेस पॉइंट्स को ऑन-प्रिमाइसेस NPS सर्वर और क्लाउड RADIUS सर्वर दोनों के साथ प्रमाणीकरण लक्ष्यों के रूप में कॉन्फ़िगर करें, जिसमें क्लाउड सेवा प्राथमिक और NPS फ़ॉलबैक के रूप में हो। पूर्ण व्यावसायिक चक्र में न्यूनतम दो सप्ताह के लिए इस कॉन्फ़िगरेशन में चलाएं। प्रमाणीकरण सफलता दर, विलंबता और किसी भी नीति विसंगतियों की निगरानी करें। चरण चार कटओवर है। NPS फ़ॉलबैक कॉन्फ़िगरेशन को हटा दें और अपने एकमात्र प्रमाणीकरण इंफ्रास्ट्रक्चर के रूप में क्लाउड RADIUS के लिए प्रतिबद्ध हों। इसे एक नियोजित रखरखाव विंडो के दौरान करें, और एक रोलबैक प्रक्रिया का दस्तावेजीकरण और परीक्षण करें। चरण पांच बंद करना (Decommission) है। एक बार जब आप कटओवर के तीस दिनों के बाद स्थिर संचालन को सत्यापित कर लेते हैं, तो NPS सर्वरों को बंद कर दें और हार्डवेयर या वर्चुअल मशीन संसाधनों को पुनः प्राप्त करें। जिन नुकसानों को मैं सबसे अधिक बार देखता हूँ वे हैं: प्रमाणपत्र ट्रस्ट श्रृंखला के मुद्दे — विशेष रूप से, क्लाइंट डिवाइस जो क्लाउड RADIUS सर्वर के प्रमाणपत्र पर भरोसा नहीं करते हैं क्योंकि CA उनके विश्वसनीय स्टोर में नहीं है। कटओवर से पहले अपने MDM या समूह नीति के माध्यम से इसे हल करें। दूसरा आम नुकसान फ़ायरवॉल नियम है। क्लाउड RADIUS को आपके एक्सेस पॉइंट्स से क्लाउड एंडपॉइंट्स तक आउटबाउंड UDP 1812 और 1813, या RadSec के लिए TCP 2083 की आवश्यकता होती है। सुनिश्चित करें कि आपका नेटवर्क परिधि इस ट्रैफ़िक की अनुमति देता है। तीसरा: साझा रहस्य जटिलता। यदि आपके मौजूदा NPS साझा रहस्य कमजोर हैं, तो माइग्रेशन का उपयोग क्रिप्टोग्राफिक रूप से मजबूत रहस्यों को घुमाने के अवसर के रूप में करें, या बेहतर अभी तक, RadSec पर जाएं और साझा रहस्यों को पूरी तरह से समाप्त करें। --- खंड 4: रैपिड-फायर प्रश्नोत्तर आइए मैं उन प्रश्नों पर नज़र डालूँ जो मुझे इस विषय पर सबसे अधिक बार मिलते हैं। क्या हम Active Directory को ऑन-प्रिमाइसेस रख सकते हैं? हाँ, बिल्कुल। क्लाउड RADIUS LDAPS के माध्यम से आपके ऑन-प्रिमाइसेस AD से जुड़ता है। आपकी निर्देशिका वहीं रहती है जहाँ वह है। यदि हमारा इंटरनेट कनेक्शन बंद हो जाता है तो क्या होगा? यह प्रमुख निर्भरता बदलाव है। क्लाउड RADIUS के साथ, इंटरनेट कनेक्टिविटी प्रमाणीकरण के लिए एक निर्भरता बन जाती है। इसे अनावश्यक WAN लिंक या स्थानीय RADIUS प्रॉक्सी के साथ कम करें जो आउटेज के दौरान ज्ञात उपकरणों के लिए प्रमाणीकरण को कैश करता है। क्या यह हमारे PCI DSS अनुपालन को प्रभावित करता है? प्रमाणित क्लाउड RADIUS प्रदाता पर जाने से आमतौर पर आपकी अनुपालन स्थिति में सुधार होता है। सुनिश्चित करें कि आपका प्रदाता SOC 2 Type II रिपोर्ट प्रदान कर सकता है और आपके वार्षिक QSA मूल्यांकन दायरे में शामिल है। पूर्ण माइग्रेशन में कितना समय लगता है? एक एकल साइट के लिए, दो से चार सप्ताह। पचास या अधिक स्थानों के बहु-साइट एस्टेट के लिए, चरणबद्ध रोलआउट के साथ तीन से छह महीने की योजना बनाएं। --- खंड 5: सारांश और अगले कदम समाप्त करने के लिए: ऑन-प्रिमाइसेस NPS से RADIUS as a Service में माइग्रेट करने का मामला परिचालन, वित्तीय और अनुपालन आधार पर सम्मोहक है। एक संरचित समानांतर-संचालन चरण के साथ निष्पादित होने पर माइग्रेशन स्वयं कम जोखिम वाला होता है। प्रमुख तकनीकी निर्णय आपकी EAP विधि का चयन, आपका पहचान एकीकरण दृष्टिकोण और परिवहन सुरक्षा के लिए RadSec को लागू करना है या नहीं — जिसकी मैं किसी भी नए परिनियोजन के लिए दृढ़ता से अनुशंसा करूँगा। आपके तत्काल अगले कदम: अपने वर्तमान RADIUS क्लाइंट्स और नीतियों का ऑडिट करें, पायलट वातावरण के लिए अपने क्लाउड RADIUS प्रदाता को शामिल करें, और शुरू करने से पहले अपने फ़ायरवॉल नियमों और प्रमाणपत्र ट्रस्ट श्रृंखलाओं की समीक्षा करें। Purple WiFi के गेस्ट एक्सेस प्लेटफ़ॉर्म को चलाने वाले संगठनों के लिए, RADIUS as a Service क्षमता सीधे गेस्ट WiFi प्रमाणीकरण प्रवाह के साथ एकीकृत होती है, जिससे आपको कॉर्पोरेट 802.1X प्रमाणीकरण और गेस्ट नेटवर्क एक्सेस प्रबंधन दोनों के लिए एक एकल नियंत्रण विमान मिलता है — जिसमें एनालिटिक्स और अनुपालन रिपोर्टिंग अंतर्निहित होती है। सुनने के लिए धन्यवाद। पूर्ण तकनीकी संदर्भ गाइड Purple वेबसाइट पर उपलब्ध है, और यदि आप आगे बढ़ने के लिए तैयार हैं तो हमारी समाधान टीम स्कोपिंग बातचीत के लिए उपलब्ध है। --- स्क्रिप्ट का अंत

header_image.png

कार्यकारी सारांश (Executive Summary)

लगभग दो दशकों से, माइक्रोसॉफ्ट का नेटवर्क पॉलिसी सर्वर (NPS) एंटरप्राइज नेटवर्क के लिए डिफॉल्ट RADIUS इम्प्लीमेंटेशन रहा है। हालांकि, जैसे-जैसे वेन्यू ऑपरेटर्स विभिन्न स्थानों पर अपना विस्तार कर रहे हैं—रिटेल चेन से लेकर वैश्विक हॉस्पिटैलिटी समूहों तक—ऑन-प्रिमाइसेस ऑथेंटिकेशन इंफ्रास्ट्रक्चर के प्रबंधन का परिचालन बोझ एक बड़ी जिम्मेदारी बन गया है।

RADIUS as a Service पर माइग्रेट करने से ऑथेंटिकेशन एक प्रबंधित हार्डवेयर घटक से हटकर एक क्लाउड सर्विस के रूप में बदल जाता है। यह आर्किटेक्चरल बदलाव स्टैंडअलोन NPS डिप्लॉयमेंट में होने वाले सिंगल पॉइंट ऑफ फेलियर को समाप्त करता है, हार्डवेयर रिफ्रेश साइकिल की आवश्यकता को हटाता है, और स्टेडियमों और कॉन्फ्रेंस सेंटरों जैसे उच्च-घनत्व वाले वातावरण के लिए आवश्यक इलास्टिक स्केलेबिलिटी प्रदान करता है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, यह गाइड प्रोडक्शन ट्रैफिक को प्रभावित किए बिना 802.1X ऑथेंटिकेशन को क्लाउड पर माइग्रेट करने, PCI DSS और GDPR का अनुपालन सुनिश्चित करने, और ऑथेंटिकेशन इंफ्रास्ट्रक्चर OpEx को 80% तक कम करने के लिए एक वेंडर-न्यूट्रल, व्यवस्थित कार्यप्रणाली प्रदान करता है।

तकनीकी विश्लेषण: आर्किटेक्चर और मानक

माइग्रेशन को समझने के लिए, हमें सबसे पहले इस आर्किटेक्चरल बदलाव की जांच करनी होगी कि IEEE 802.1X पोर्ट-आधारित एक्सेस कंट्रोल कैसे प्रदान किया जाता है।

ऑन-प्रिमाइसेस NPS की सीमाएं

एक पारंपरिक डिप्लॉयमेंट में, एक्सेस पॉइंट्स नेटवर्क एक्सेस सर्वर (NAS) के रूप में कार्य करते हैं, जो ऑथेंटिकेशन अनुरोधों को ऑन-प्रिमाइसेस NPS सर्वर पर फॉरवर्ड करते हैं। NPS सर्वर कनेक्शन अनुरोध पॉलिसियों का मूल्यांकन करता है, एक आइडेंटिटी स्टोर (आमतौर पर LDAP के माध्यम से Active Directory) के खिलाफ क्रेडेंशियल्स को सत्यापित करता है, और एक Access-Accept या Access-Reject संदेश वापस भेजता है।

यह मॉडल आधुनिक नेटवर्क के लिए तीन महत्वपूर्ण सीमाएं प्रस्तुत करता है:

  1. हार्डवेयर निर्भरता और रखरखाव: NPS के लिए समर्पित फिजिकल या वर्चुअल मशीनों की आवश्यकता होती है, जिसके लिए निरंतर पैचिंग, क्षमता नियोजन और लाइफसाइकिल प्रबंधन की आवश्यकता होती है।
  2. हाई अवेलेबिलिटी की जटिलता: रिडंडेंसी प्राप्त करने के लिए NPS को एक फेलओवर पेयर में डिप्लॉय करना पड़ता है, जिससे वास्तविक भौगोलिक रिडंडेंसी मिले बिना लाइसेंसिंग लागत दोगुनी हो जाती है।
  3. थ्रूपुट अड़चनें (Throughput Bottlenecks): पीक कॉनकरेंसी के दौरान—जैसे कि स्टेडियम में प्रवेश या रिटेल के पीक ट्रेडिंग ऑवर्स—एक सिंगल NPS इंस्टेंस एक अड़चन बन सकता है, जिससे ऑथेंटिकेशन टाइमआउट और खराब उपयोगकर्ता अनुभव होता है।

क्लाउड RADIUS आर्किटेक्चर

RADIUS as a Service ऑथेंटिकेशन लेयर को अमूर्त (abstract) बनाता है। क्लाउड प्रदाता RADIUS सर्वर के वितरित, जियो-रिडंडेंट क्लस्टर संचालित करते हैं। NAS इन क्लाउड एंडपॉइंट्स की ओर इशारा करता है, और अनुरोधों को स्वचालित रूप से लोड-बैलेंस किया जाता है।

architecture_comparison.png

ट्रांसपोर्ट सिक्योरिटी: RadSec की भूमिका RADIUS को क्लाउड पर ले जाते समय, ऑथेंटिकेशन ट्रैफिक सार्वजनिक इंटरनेट से होकर गुजरता है। जबकि पारंपरिक RADIUS एक शेयर्ड सीक्रेट और MD5 हैशिंग का उपयोग करता है, आधुनिक डिप्लॉयमेंट में RadSec (RADIUS over TLS, RFC 6614) को लागू करना आवश्यक है। RadSec पूरे RADIUS वार्तालाप को एक TLS टनल (आमतौर पर TCP पोर्ट 2083) में लपेटता है, जो HTTPS के समान ट्रांसपोर्ट-लेयर एन्क्रिप्शन और NAS तथा क्लाउड RADIUS एंडपॉइंट के बीच म्यूचुअल ऑथेंटिकेशन प्रदान करता है।

आइडेंटिटी इंटीग्रेशन क्लाउड RADIUS के लिए आपकी यूजर डायरेक्टरी को माइग्रेट करने की आवश्यकता नहीं होती है। सेवाएं आमतौर पर ऑन-प्रिमाइसेस Active Directory में वापस LDAPS कनेक्शन या SAML या SCIM के माध्यम से Azure Active Directory (Entra ID) के साथ नेटिव API इंटीग्रेशन का समर्थन करती हैं। यह सुनिश्चित करता है कि आपकी मौजूदा यूजर लाइफसाइकिल प्रबंधन प्रक्रियाएं बरकरार रहें।

Guest WiFi प्लेटफॉर्म का लाभ उठाने वाले वेन्यू के लिए, क्लाउड RADIUS सीधे एकीकृत होता है, जो कॉर्पोरेट 802.1X ऑथेंटिकेशन और गेस्ट नेटवर्क एक्सेस दोनों के लिए एक एकीकृत कंट्रोल प्लेन प्रदान करता है, जो उन्नत WiFi Analytics के साथ आता है।

कार्यान्वयन गाइड: एक 5-चरण कार्यप्रणाली

बिना किसी डाउनटाइम के माइग्रेशन को निष्पादित करने के लिए एक व्यवस्थित, चरणबद्ध दृष्टिकोण की आवश्यकता होती है।

migration_checklist.png

चरण 1: ऑडिट और इन्वेंट्री

कोई भी बदलाव करने से पहले, वर्तमान स्थिति का दस्तावेजीकरण करें:

  • RADIUS क्लाइंट्स: प्रत्येक NAS (एक्सेस पॉइंट्स, स्विच, VPN कंसंट्रेटर) की पहचान करें।
  • पॉलिसियां: मौजूदा NPS कनेक्शन अनुरोध और नेटवर्क पॉलिसियों का दस्तावेजीकरण करें, जिसमें VLAN असाइनमेंट के लिए उपयोग किए जाने वाले वेंडर-स्पेसिफिक एट्रिब्यूट्स (VSAs) शामिल हैं।
  • EAP तरीके: पहचानें कि कौन से एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल तरीके उपयोग में हैं (जैसे, EAP-TLS, PEAP-MSCHAPv2)।

चरण 2: पायलट डिप्लॉयमेंट

क्लाउड RADIUS इंस्टेंस को प्रोविज़न करें और एक नॉन-प्रोडक्शन SSID या एक सिंगल टेस्ट साइट को कॉन्फ़िगर करें। आइडेंटिटी डायरेक्टरी इंटीग्रेशन (जैसे, Entra ID सिंक) को सत्यापित करें और सुनिश्चित करें कि EAP विधि शुरू से अंत तक काम करती है।

चरण 3: समानांतर संचालन (जोखिम न्यूनीकरण)

क्लाउड RADIUS सर्वर (प्राइमरी) और लीगेसी NPS सर्वर (फॉलबैक) दोनों का उपयोग करने के लिए प्रोडक्शन NAS डिवाइस को कॉन्फ़िगर करें। इस कॉन्फ़िगरेशन को न्यूनतम दो सप्ताह तक चलाएं। कटओवर से पहले किसी भी पॉलिसी विसंगतियों की पहचान करने के लिए ऑथेंटिकेशन सफलता दर, लेटेंसी मेट्रिक्स और अकाउंटिंग डेटा फ्लो की निगरानी करें।

चरण 4: कटओवर

एक निर्धारित रखरखाव विंडो के दौरान, NAS डिवाइस से लीगेसी NPS फॉलबैक कॉन्फ़िगरेशन को हटा दें। पूरी तरह से क्लाउड इंफ्रास्ट्रक्चर के प्रति प्रतिबद्ध हों। सुनिश्चित करें कि आपकी रोलबैक प्रक्रिया प्रलेखित और परीक्षित है।

चरण 5: डीकमिशन

30 दिनों के स्थिर संचालन के बाद, लीगेसी NPS सर्वर को सुरक्षित रूप से डीकमिशन करें और कंप्यूट संसाधनों को वापस प्राप्त करें।

सर्वोत्तम अभ्यास और अनुपालन

अपने क्लाउड RADIUS आर्किटेक्चर को डिज़ाइन करते समय, निम्नलिखित मानकों का पालन करें:

  • RadSec को अनिवार्य करें: यदि आपके NAS हार्डवेयर द्वारा RadSec (TCP 2083) समर्थित है, तो मानक UDP 1812/1813 का उपयोग करके सार्वजनिक इंटरनेट पर कभी भी RADIUS ट्रैफिक न भेजें।
  • सर्टिफिकेट ट्रस्ट चेन: सुनिश्चित करें कि क्लाइंट डिवाइस सर्टिफिकेट पर भरोसा करते हैंificate Authority (CA) जिसने क्लाउड RADIUS सर्वर का सर्टिफिकेट जारी किया है। माइग्रेशन से पहले MDM या Group Policy के माध्यम से प्रबंधित डिवाइसेस पर रूट CA को पुश करें।
  • Compliance Posture: ऐसे क्लाउड RADIUS प्रदाता का चयन करें जो SOC 2 Type II सर्टिफिकेशन और ISO 27001 मान्यता बनाए रखता हो। यह आपके वार्षिक PCI DSS आकलनों को काफी सरल बनाता है, विशेष रूप से Retail और Hospitality परिवेशों के लिए।

व्यापक नेटवर्क डिज़ाइन सिद्धांतों के लिए, Setting Up WiFi for Business: A 2026 Playbook और Understanding RSSI and Signal Strength for Optimal Channel Planning पर हमारे गाइड देखें।

Troubleshooting & Risk Mitigation

Failure Mode Root Cause Mitigation Strategy
ऑथेंटिकेशन टाइमआउट फ़ायरवॉल आउटबाउंड UDP 1812/1813 या TCP 2083 को ब्लॉक कर रहा है। सत्यापित करें कि पेरीमीटर फ़ायरवॉल नियम क्लाउड RADIUS प्रदाता के विशिष्ट IP रेंज में आउटबाउंड ट्रैफ़िक की अनुमति देते हैं।
सर्टिफिकेट ट्रस्ट एरर क्लाइंट डिवाइसेस के ट्रस्टेड स्टोर में रूट CA की कमी है। फ़ेज़ 3 (पैरेलल रनिंग) से पहले MDM/GPO के माध्यम से रूट CA को डिप्लॉय करें।
VLAN असाइनमेंट विफल क्लाउड पॉलिसियों में वेंडर-स्पेसिफिक एट्रिब्यूट्स (VSAs) सही ढंग से मैप नहीं किए गए हैं। फ़ेज़ 1 के दौरान NPS से क्लाउड RADIUS पॉलिसी इंजन में सटीक VSA स्ट्रिंग फ़ॉर्मेट को रेप्लिकेट करें।
WAN आउटेज प्रभाव इंटरनेट बंद होने से क्लाउड RADIUS तक पहुंच समाप्त हो जाती है। रिडंडेंट WAN लिंक डिप्लॉय करें या एक लोकल RADIUS प्रॉक्सी लागू करें जो ज्ञात डिवाइसेस के लिए क्रेडेंशियल्स को कैश करता है।

ROI & Business Impact

RADIUS as a Service पर माइग्रेट करने से मापने योग्य व्यावसायिक परिणाम मिलते हैं:

  • लागत में कमी: हार्डवेयर खरीद, Windows Server लाइसेंसिंग, और पैचिंग व रखरखाव पर खर्च होने वाले इंजीनियरिंग घंटों को समाप्त करता है। सामान्य OpEx में 60-80% की कमी आती है।
  • विश्वसनीयता SLA: क्लाउड प्रदाता वित्तीय रूप से समर्थित 99.99% अपटाइम SLA प्रदान करते हैं, जबकि सिंगल-साइट NPS डिप्लॉयमेंट द्वारा आमतौर पर 97-98% ही प्राप्त किया जाता है।
  • चपलता (Agility): स्थानीय ऑथेंटिकेशन हार्डवेयर को प्रोविज़न किए बिना नए साइटों को तुरंत ऑनलाइन लाया जा सकता है, जिससे Transport हब और Healthcare सुविधाओं के लिए डिप्लॉयमेंट की समयसीमा तेज हो जाती है।

इस 10 मिनट की ब्रीफिंग में हमारी सीनियर कंसल्टिंग टीम को रणनीतिक प्रभावों पर चर्चा करते हुए सुनें:

मुख्य परिभाषाएं

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने और उसका उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखांकन (AAA) प्रबंधन प्रदान करता है।

नेटवर्क एक्सेस प्रदान करने से पहले उपयोगकर्ता क्रेडेंशियल्स को मान्य करने के लिए एंटरप्राइज़ WiFi नेटवर्क द्वारा उपयोग किया जाने वाला मुख्य प्रोटोकॉल।

NPS (Network Policy Server)

Microsoft का एक RADIUS सर्वर और प्रॉक्सी का कार्यान्वयन, जो Windows Server में एक भूमिका के रूप में बंडल किया गया है।

विरासत ऑन-प्रिमाइसेस इंफ्रास्ट्रक्चर जिससे संगठन रखरखाव ओवरहेड को कम करने के लिए सक्रिय रूप से माइग्रेट कर रहे हैं।

NAS (Network Access Server)

वह उपकरण जो नेटवर्क के प्रवेश द्वार के रूप में कार्य करता है और प्रमाणीकरण अनुरोधों को RADIUS सर्वर पर भेजता है।

वायरलेस संदर्भ में, NAS आमतौर पर WiFi एक्सेस पॉइंट या वायरलेस LAN कंट्रोलर होता है।

RadSec (RADIUS over TLS)

RFC 6614 में परिभाषित एक प्रोटोकॉल जो TLS के साथ एन्क्रिप्टेड TCP कनेक्शन पर RADIUS पैकेट स्थानांतरित करता है।

सार्वजनिक इंटरनेट पर यात्रा करते समय क्रेडेंशियल डेटा एन्क्रिप्टेड सुनिश्चित करने के लिए क्लाउड RADIUS तैनाती के लिए आवश्यक।

EAP (Extensible Authentication Protocol)

एक प्रमाणीकरण ढांचा जो अक्सर वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में उपयोग किया जाता है।

यह निर्धारित करता है कि क्लाइंट और सर्वर क्रेडेंशियल्स का सुरक्षित रूप से आदान-प्रदान कैसे करते हैं (जैसे, EAP-TLS के माध्यम से प्रमाणपत्र, या PEAP के माध्यम से पासवर्ड)।

VSA (Vendor-Specific Attribute)

स्वामित्व वाली सुविधाओं का समर्थन करने के लिए RADIUS प्रोटोकॉल के भीतर हार्डवेयर विक्रेताओं द्वारा परिभाषित कस्टम विशेषताएँ।

माइग्रेशन के दौरान महत्वपूर्ण; VSAs का उपयोग अक्सर प्रमाणित उपयोगकर्ताओं को गतिशील रूप से विशिष्ट नेटवर्क VLANs में असाइन करने के लिए किया जाता है।

LDAPS (Lightweight Directory Access Protocol over SSL)

Active Directory जैसी निर्देशिका सेवाओं को क्वेरी करने और संशोधित करने के लिए एक सुरक्षित प्रोटोकॉल।

उपयोगकर्ता निर्देशिका को क्लाउड पर माइग्रेट किए बिना ऑन-प्रिमाइसेस पहचान स्टोर को सुरक्षित रूप से क्वेरी करने के लिए क्लाउड RADIUS सेवाओं द्वारा उपयोग किया जाता है।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (PNAC) के लिए एक IEEE मानक।

अंतर्निहित मानक जो यह सुनिश्चित करने के लिए RADIUS का उपयोग करता है कि केवल प्रमाणित उपकरण ही एंटरप्राइज़ LAN या WLAN पर ट्रैफ़िक पास कर सकें।

हल किए गए उदाहरण

एक 200-प्रॉपर्टी वाला होटल समूह वर्तमान में स्टाफ 802.1X प्रमाणीकरण के लिए प्रत्येक साइट पर स्थानीय NPS सर्वर चलाता है। वे Entra ID (Azure AD) में माइग्रेट कर रहे हैं और स्थानीय सर्वरों को बंद करना चाहते हैं। उन्हें माइग्रेशन के लिए क्या दृष्टिकोण अपनाना चाहिए?

  1. एक क्लाउड RADIUS सेवा तैनात करें जो SAML/SCIM के माध्यम से Entra ID के साथ मूल रूप से एकीकृत होती है।
  2. विशिष्ट VLAN VSAs के लिए Entra ID समूहों (जैसे, 'Front Desk', 'Management') को मैप करने के लिए क्लाउड RADIUS नीतियों को कॉन्फ़िगर करें।
  3. एक पायलट प्रॉपर्टी पर, क्लाउड RADIUS एंडपॉइंट से कनेक्ट करने के लिए RadSec का उपयोग करने के लिए एक्सेस पॉइंट्स को कॉन्फ़िगर करें।
  4. Microsoft Intune के माध्यम से सभी स्टाफ उपकरणों पर क्लाउड RADIUS सर्वर के Root CA को पुश करें।
  5. पायलट साइट पर समानांतर प्रमाणीकरण चलाएं, फिर शेष 199 संपत्तियों में चरणबद्ध रोलआउट निष्पादित करें।
परीक्षक की टिप्पणी: यह दृष्टिकोण एस्टेट से 200 भौतिक/आभासी सर्वरों को हटा देता है, जिससे हमले की संभावना और रखरखाव ओवरहेड काफी कम हो जाता है। Entra ID के साथ सीधे एकीकृत होने से केंद्रीय Active Directory में वापस जाने के लिए जटिल साइट-टू-साइट VPN की आवश्यकता समाप्त हो जाती है।

50,000 की क्षमता वाले एक स्टेडियम में बड़े आयोजनों के दौरान उनके कॉर्पोरेट SSID पर प्रमाणीकरण विफलताओं का अनुभव होता है क्योंकि उनका ऑन-प्रिमाइसेस NPS सर्वर एक साथ रोमिंग करने वाले हजारों उपकरणों के थ्रूपुट को संभालने में असमर्थ है।

  1. मौजूदा NPS नीतियों और EAP विधियों का ऑडिट करें।
  2. प्रति सेकंड उच्च प्रमाणीकरण (APS) को संभालने के लिए ऑटो-स्केलिंग में सक्षम क्लाउड RADIUS सेवा का प्रावधान करें।
  3. क्लाउड RADIUS सेवा से स्टेडियम के ऑन-प्रिमाइसेस Active Directory में एक LDAPS कनेक्शन स्थापित करें।
  4. स्टेडियम के हाई-डेंसिटी वायरलेस LAN नियंत्रकों को प्राथमिक प्रमाणीकरण सर्वर के रूप में क्लाउड RADIUS एंडपॉइंट्स को इंगित करने के लिए अपडेट करें।
परीक्षक की टिप्पणी: RADIUS प्रोसेसिंग को क्लाउड क्लस्टर पर स्थानांतरित करके, स्टेडियम इलास्टिक कंप्यूट संसाधनों का लाभ उठाता है जो इवेंट इनग्रेस के दौरान गतिशील रूप से स्केल करते हैं, जिससे आयोजन स्थल को महंगे स्थानीय हार्डवेयर का अत्यधिक प्रावधान करने की आवश्यकता के बिना बाधा का समाधान हो जाता है।

अभ्यास प्रश्न

Q1. आपका संगठन Cloud RADIUS में माइग्रेट कर रहा है। सुरक्षा टीम का आदेश है कि कोई भी प्रमाणीकरण ट्रैफ़िक इंटरनेट पर क्लियरटेक्स्ट में या MD5 जैसे अप्रचलित हैशिंग एल्गोरिदम का उपयोग करके नहीं भेजा जा सकता है। आपको अपने वायरलेस LAN नियंत्रकों पर कौन सा प्रोटोकॉल कॉन्फ़िगर करना होगा?

संकेत: उस प्रोटोकॉल की तलाश करें जो RADIUS को TLS टनल में लपेटता है।

मॉडल उत्तर देखें

आपको RadSec (RADIUS over TLS) कॉन्फ़िगर करना होगा। RadSec, NAS और क्लाउड RADIUS सर्वर के बीच TCP पोर्ट 2083 पर एक TLS टनल स्थापित करता है, जो ट्रांसपोर्ट-लेयर एन्क्रिप्शन और पारस्परिक प्रमाणीकरण प्रदान करता है, जिससे सुरक्षा टीम की आवश्यकताएं पूरी होती हैं।

Q2. अपने माइग्रेशन के चरण 3 (समानांतर संचालन) के दौरान, आप देखते हैं कि उपयोगकर्ता क्लाउड RADIUS सर्वर के विरुद्ध सफलतापूर्वक प्रमाणित हो रहे हैं, लेकिन उन्हें सही नेटवर्क सेगमेंट में नहीं रखा जा रहा है। सबसे संभावित कॉन्फ़िगरेशन अंतर क्या है?

संकेत: एक RADIUS सर्वर एक्सेस पॉइंट को कैसे बताता है कि किस नेटवर्क सेगमेंट का उपयोग करना है?

मॉडल उत्तर देखें

डायनेमिक VLAN असाइनमेंट के लिए वेंडर-विशिष्ट विशेषताएं (VSAs) क्लाउड RADIUS नीतियों में सही ढंग से कॉन्फ़िगर नहीं की गई हैं। आपको यह सुनिश्चित करना होगा कि विरासत NPS सर्वर में उपयोग किए गए सटीक VSA स्ट्रिंग्स को क्लाउड वातावरण में दोहराया जाए ताकि NAS को पता चले कि उपयोगकर्ता को कौन सा VLAN असाइन करना है।

Q3. एक क्लाइंट डिवाइस नए क्लाउड RADIUS सेवा के विरुद्ध बार-बार EAP-TLS प्रमाणीकरण में विफल हो रहा है, लेकिन यह विरासत NPS सर्वर के विरुद्ध ठीक काम करता है। डिवाइस लॉग 'अविश्वसनीय सर्वर' त्रुटि दिखाते हैं। आप इसे कैसे हल करेंगे?

संकेत: EAP-TLS के लिए आवश्यक है कि क्लाइंट सर्वर की पहचान पर भरोसा करे।

मॉडल उत्तर देखें

क्लाइंट डिवाइस के पास उसके विश्वसनीय रूट स्टोर में Root Certificate Authority (CA) नहीं है जिसने क्लाउड RADIUS सर्वर का प्रमाणपत्र जारी किया था। आपको मोबाइल डिवाइस प्रबंधन (MDM) समाधान या समूह नीति का उपयोग करके क्लाइंट डिवाइस पर Root CA तैनात करना होगा।

इस श्रृंखला में आगे पढ़ें

तीनों SSIDs पर नियंत्रण: guest, staff और IoT WiFi सेटअप गाइड

यह आधिकारिक तकनीकी संदर्भ गाइड तीन-SSID WiFi आर्किटेक्चर को लागू करने के लिए चरण-दर-चरण ब्लूप्रिंट प्रदान करता है। यह बताता है कि प्रदर्शन को अनुकूलित करने और PCI DSS अनुपालन सुनिश्चित करने के लिए captive portals, 802.1X RADIUS, और प्रति-डिवाइस PSK (xPSK) का उपयोग करके guest, staff और IoT ट्रैफ़िक को कैसे विभाजित किया जाए।

गाइड पढ़ें →

Starlink पर कैप्टिव पोर्टल कैसे सेटअप करें: दूरस्थ और समुद्री स्थानों के लिए एक गाइड

यह गाइड विवरण देती है कि मूल Starlink हार्डवेयर को कैसे बायपास करें और एंटरप्राइज़ राउटिंग उपकरणों का उपयोग करके क्लाउड-प्रबंधित कैप्टिव पोर्टल को कैसे एकीकृत करें। आप सीखेंगे कि CGNAT सीमा को कैसे पार करें, VLAN सेगमेंटेशन लागू करें, सैटेलाइट बैंडविड्थ बाधाओं को प्रबंधित करें और नियामक अनुपालन सुनिश्चित करें।

गाइड पढ़ें →

होटल गेस्ट WiFi प्रबंधन: PMS, पोर्टल और ब्रांड मानकों को एकीकृत करना

यह तकनीकी मार्गदर्शिका विवरण देती है कि एंटरप्राइज़-ग्रेड होटल WiFi नेटवर्क को कैसे आर्किटेक्ट किया जाए, जिसमें VLAN सेगमेंटेशन, स्वचालित सत्र प्रबंधन के लिए PMS एकीकरण, और GDPR-अनुपालन डेटा कैप्चर के लिए कैप्टिव पोर्टल अनुकूलन पर ध्यान केंद्रित किया गया है।

गाइड पढ़ें →