मुख्य सामग्री पर जाएं

On-Premises RADIUS (NPS) से RADIUS-as-a-Service पर माइग्रेट करना

यह आधिकारिक गाइड ऑन-प्रेमाइसेस Microsoft Network Policy Server (NPS) से क्लाउड-नेटिव RADIUS-as-a-Service मॉडल में माइग्रेट करने के तकनीकी आर्किटेक्चर, कार्यान्वयन पद्धति और व्यावसायिक प्रभाव का विवरण देती है। यह IT लीडर्स और नेटवर्क आर्किटेक्ट्स को परिचालन ओवरहेड को कम करने, सिंगल पॉइंट ऑफ़ फेलियर को समाप्त करने और वितरित स्थानों पर एंटरप्राइज ऑथेंटिकेशन को सुरक्षित करने के लिए व्यावहारिक रूपरेखा प्रदान करती है।

📖 5 मिनट का पाठ📝 1,066 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
पॉडकास्ट स्क्रिप्ट: ऑन-प्रिमाइसेस RADIUS (NPS) से RADIUS-as-a-Service पर माइग्रेट करना अवधि: ~10 मिनट | आवाज़: यूके इंग्लिश, पुरुष, सीनियर कंसलटेंट टोन --- खंड 1: परिचय और संदर्भ Purple WiFi तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। आज हम एक ऐसे माइग्रेशन पर चर्चा कर रहे हैं जो वर्तमान में कई उद्यम IT टीमों के रोडमैप पर है: ऑन-प्रिमाइसेस RADIUS - विशेष रूप से Microsoft के नेटवर्क पॉलिसी सर्वर - से क्लाउड-होस्टेड RADIUS-as-a-Service मॉडल पर जाना। यदि आप किसी होटल समूह, रिटेल एस्टेट, स्टेडियम या सार्वजनिक क्षेत्र के परिसर में WiFi प्रमाणीकरण का प्रबंधन कर रहे हैं, तो यह सीधे तौर पर आपके लिए प्रासंगिक है। ऑन-प्रिमाइसेस NPS मॉडल ने लगभग दो दशकों तक हमारी अच्छी सेवा की है, लेकिन परिचालन ओवरहेड, सिंगल-पॉइंट-ऑफ-फेलियर का जोखिम और स्केलिंग की सीमाएं इसे सही ठहराना कठिन बनाती जा रही हैं - विशेष रूप से तब जब क्लाउड-नेटिव विकल्प अब कुल स्वामित्व लागत के एक अंश में उद्यम-श्रेणी की विश्वसनीयता प्रदान करते हैं। अगले दस मिनटों में, हम दोनों दृष्टिकोणों के तकनीकी आर्किटेक्चर को कवर करेंगे, एक संरचित माइग्रेशन कार्यप्रणाली को समझेंगे, वास्तविक दुनिया के दो कार्यान्वयन परिदृश्यों को देखेंगे, और उन प्रमुख निर्णय ढांचों के साथ समाप्त करेंगे जिनकी आपको आत्मविश्वास से यह निर्णय लेने के लिए आवश्यकता है। आइए शुरू करते हैं। --- खंड 2: तकनीकी गहराई सबसे पहले, आइए यह सुनिश्चित करें कि आपके नेटवर्क स्टैक में RADIUS वास्तव में क्या करता है। RADIUS - रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस - RFC 2865 में परिभाषित प्रोटोकॉल है जो नेटवर्क एक्सेस के लिए प्रमाणीकरण, प्राधिकरण और लेखांकन (अकाउंटिंग) को संभालता है। WiFi के संदर्भ में, यह IEEE 802.1X पोर्ट-आधारित एक्सेस कंट्रोल की रीढ़ है। जब कोई डिवाइस WPA2-Enterprise या WPA3-Enterprise SSID से कनेक्ट होता है, तो एक्सेस पॉइंट एक RADIUS क्लाइंट के रूप में कार्य करता है - जिसे हम नेटवर्क एक्सेस सर्वर कहते हैं - और प्रमाणीकरण अनुरोध को RADIUS सर्वर पर भेजता है। सर्वर क्रेडेंशियल्स को सत्यापित करता है, आमतौर पर Active Directory या LDAP निर्देशिका के विरुद्ध, और एक Access-Accept या Access-Reject प्रतिक्रिया देता है। यह बुनियादी प्रवाह है। अब, ऑन-प्रिमाइसेस NPS मॉडल में - नेटवर्क पॉलिसी सर्वर Windows Server के साथ बंडल किया गया Microsoft का RADIUS कार्यान्वयन है - आप उस प्रमाणीकरण तर्क को अपने स्वामित्व वाले हार्डवेयर पर चलाते हैं, एक डेटा सेंटर या सर्वर रूम में जिसका आप रख-रखाव करते हैं। NPS सर्वर आपकी नेटवर्क नीतियों, EAP-TLS या PEAP-MSCHAPv2 के लिए आपके सर्टिफिकेट इन्फ्रास्ट्रक्चर और आपके कनेक्शन अनुरोध नीतियों को रखता है। यह काम करता है। यह परिपक्व है। लेकिन यह परिचालन वास्तविकताओं के एक सेट के साथ आता है जो समय के साथ जटिल होती जाती हैं। पहला है हार्डवेयर निर्भरता। आपका NPS सर्वर एक भौतिक या वर्चुअल मशीन है जिसके लिए पैचिंग, क्षमता नियोजन और अंततः हार्डवेयर रिफ्रेश की आवश्यकता होती है। एक बहु-साइट परिनियोजन में - मान लीजिए, पूरे यूके में संपत्तियों वाला एक होटल समूह - आप या तो WAN निर्भरता के साथ एक केंद्रीकृत NPS चला रहे हैं, या आप प्रत्येक साइट पर NPS इंस्टेंस तैनात कर रहे हैं और उनका व्यक्तिगत रूप से प्रबंधन कर रहे हैं। दोनों में से कोई भी तरीका आसान नहीं है। दूसरा है उपलब्धता। एक अकेला NPS इंस्टेंस आपके पूरे ऑथेंटिकेशन इंफ्रास्ट्रक्चर के लिए सिंगल पॉइंट ऑफ फेल्योर (एकल विफलता बिंदु) होता है। हां, आप फ़ेलओवर पेयर में NPS तैनात कर सकते हैं, लेकिन इससे आपका हार्डवेयर और लाइसेंसिंग ओवरहेड दोगुना हो जाता है, और फिर भी यह आपको वह भौगोलिक अतिरेक (ज्योग्राफिक रिडंडेंसी) नहीं देता है जो क्लाउड सर्विस स्वाभाविक रूप से प्रदान करती है। तीसरा है स्केलेबिलिटी। NPS को कॉर्पोरेट LAN परिवेशों के लिए डिज़ाइन किया गया था। जब आप किसी स्टेडियम इवेंट या कॉन्फ्रेंस सेंटर के पीक समय के दौरान हजारों समवर्ती (कन्करेंट) ऑथेंटिकेशन अनुरोधों को संभाल रहे होते हैं, तो एक एकल NPS इंस्टेंस की थ्रूपुट सीमाएं बहुत स्पष्ट रूप से सामने आती हैं। ऑथेंटिकेशन लेटेंसी बढ़ जाती है, और उपयोगकर्ताओं को ठीक उसी समय कनेक्शन विफलता का अनुभव होता है जब आप इसे बिल्कुल भी बर्दाश्त नहीं कर सकते। RADIUS-as-a-Service इन तीनों सीमाओं का समाधान संरचनात्मक रूप से करता है। क्लाउड RADIUS प्रदाता RADIUS सर्वरों का एक वितरित, जियो-रिडंडेंट क्लस्टर चलाता है। आपके एक्सेस पॉइंट स्थानीय ऑन-प्रिमाइसेस सर्वर के बजाय क्लाउड-होस्टेड RADIUS एंडपॉइंट्स की ओर इशारा करते हैं। ऑथेंटिकेशन अनुरोधों को क्लस्टर में लोड-बैलेंस किया जाता है, और फ़ेलओवर स्वचालित और पारदर्शी होता है। प्रदाता पैचिंग, क्षमता स्केलिंग और सर्टिफिकेट प्रबंधन को संभालता है। नेटवर्क ऑपरेटर के रूप में आपके दृष्टिकोण से, RADIUS एक प्रबंधित घटक के बजाय एक उपभोग की जाने वाली सर्विस बन जाता है। ऑथेंटिकेशन प्रोटोकॉल खुद नहीं बदलते हैं। आप अभी भी अपने क्लाइंट डिवाइस मिक्स के आधार पर EAP-TLS, PEAP-MSCHAPv2, या EAP-TTLS के साथ IEEE 802.1X चला रहे हैं। अंतर केवल इस बात का है कि RADIUS सर्वर कहां रहता है और इसकी परिचालन निरंतरता के लिए कौन जिम्मेदार है। यहाँ एक महत्वपूर्ण सुरक्षा विचार है जिस पर मैं सीधे बात करना चाहता हूँ, क्योंकि यह लगभग हर क्लाइंट बातचीत में सामने आता है। RADIUS को क्लाउड पर ले जाने का मतलब है कि आपका ऑथेंटिकेशन ट्रैफ़िक क्लाउड RADIUS एंडपॉइंट तक पहुँचने के लिए सार्वजनिक इंटरनेट से होकर गुज़र रहा है। इसे दो तंत्रों के माध्यम से कम किया जाता है। पहला, नेटवर्क एक्सेस सर्वर और RADIUS सर्वर के बीच RADIUS ट्रैफ़िक को एक शेयर्ड सीक्रेट और MD5-आधारित मैसेज ऑथेंटिकेशन का उपयोग करके सुरक्षित किया जाता है। दूसरा, और आधुनिक तैनाती के लिए अधिक महत्वपूर्ण बात यह है कि आपको RadSec - TLS पर RADIUS, जो RFC 6614 में परिभाषित है - चलाना चाहिए, जो पूरी RADIUS बातचीत को एक TLS टनल में लपेटता है। यह आपको HTTPS के समकक्ष ट्रांसपोर्ट-लेयर एन्क्रिप्शन देता है, जिससे MD5 संवेदनशीलता समाप्त हो जाती है और NAS तथा RADIUS सर्वर के बीच आपसी ऑथेंटिकेशन प्रदान होता है। किसी भी विचार करने योग्य क्लाउड RADIUS प्रदाता को मानक के रूप में RadSec का समर्थन करना चाहिए। आइडेंटिटी इंटीग्रेशन की तरफ, क्लाउड RADIUS सेवाएं आम तौर पर आपके ऑन-प्रिमाइसेस एक्टिव डायरेक्ट्री में वापस LDAP और LDAPS कनेक्शन का समर्थन करती हैं, या SAML या SCIM के माध्यम से Azure एक्टिव डायरेक्ट्री और Entra ID के साथ मूल एकीकरण का समर्थन करती हैं। इसका मतलब है कि आपको अपनी यूजर डायरेक्ट्री को माइग्रेट करने की आवश्यकता नहीं है - क्लाउड RADIUS सर्विस आपके मौजूदा आइडेंटिटी स्टोर से क्वेरी करती है, जिससे आपकी मौजूदा यूजर लाइफसाइकिल मैनेजमेंट प्रक्रियाएं बनी रहती हैं।कम्प्लायंस के प्रति सचेत संगठनों के लिए - और इसमें वे सभी शामिल हैं जो PCI-DSS के तहत भुगतान कार्ड डेटा, या GDPR के तहत व्यक्तिगत डेटा को संभालते हैं - क्लाउड RADIUS प्रदाता जो SOC 2 Type II प्रमाणित और ISO 27001 मान्यता प्राप्त हैं, वे स्वयं-प्रबंधित NPS इन्फ्रास्ट्रक्चर की तुलना में कहीं अधिक मजबूत कम्प्लायंस स्थिति प्रदान करते हैं। --- खंड 3: कार्यान्वयन की सिफारिशें और संभावित त्रुटियाँ ठीक है, चलिए अब इस बारे में बात करते हैं कि आप अपने प्रमाणीकरण (authentication) इन्फ्रास्ट्रक्चर को ऑफलाइन किए बिना इस माइग्रेशन को वास्तव में कैसे निष्पादित कर सकते हैं। मैं जिस कार्यप्रणाली की सिफारिश करता हूँ वह पांच-चरण का दृष्टिकोण है। पहला चरण ऑडिट और इन्वेंट्री है। प्रत्येक RADIUS क्लाइंट - प्रत्येक एक्सेस पॉइंट, प्रत्येक स्विच, प्रत्येक VPN कंसंट्रेटर - को उसके वर्तमान शेयर्ड सीक्रेट, उसके द्वारा उपयोग किए जा रहे EAP तरीके, और आपकी NPS नीतियों में किसी भी वेंडर-विशिष्ट विशेषताओं के साथ दस्तावेजीकृत करें। यह भले ही आकर्षक काम न हो, लेकिन इसे छोड़ना माइग्रेशन विफलताओं का सबसे बड़ा कारण है। दूसरा चरण पायलट डिप्लॉयमेंट है। अपने क्लाउड RADIUS इंस्टेंस को चालू करें और उस पर एक नॉन-प्रोडक्शन SSID या सिंगल टेस्ट साइट को इंगित करें। सत्यापित करें कि आपका EAP तरीका एंड-टू-एंड काम कर रहा है, आपका पहचान एकीकरण (identity integration) काम कर रहा है, और आपका अकाउंटिंग डेटा सही ढंग से प्रवाहित हो रहा है। तीसरा चरण पैरेलल रनिंग है। यह महत्वपूर्ण जोखिम शमन (risk mitigation) कदम है। अपने एक्सेस पॉइंट्स को ऑन-प्रिमाइसेस NPS सर्वर और क्लाउड RADIUS सर्वर दोनों के साथ प्रमाणीकरण टारगेट के रूप में कॉन्फ़िगर करें, जिसमें क्लाउड सर्विस प्राइमरी के रूप में और NPS फॉलबैक के रूप में हो। पूरे व्यावसायिक चक्र के दौरान कम से कम दो सप्ताह तक इस कॉन्फ़िगरेशन को चलाएं। प्रमाणीकरण सफलता दर, विलंबता (latency) और किसी भी नीतिगत विसंगतियों की निगरानी करें। चौथा चरण कटओवर है। NPS फॉलबैक कॉन्फ़िगरेशन को हटा दें और अपने एकमात्र प्रमाणीकरण इन्फ्रास्ट्रक्चर के रूप में क्लाउड RADIUS को अपनाएं। इसे एक नियोजित रखरखाव (maintenance) विंडो के दौरान करें, और एक रोलबैक प्रक्रिया का दस्तावेजीकरण और परीक्षण करके रखें। पांचवां चरण डीकमिशन (decommission) करना है। एक बार जब आप कटओवर के बाद तीस दिनों तक स्थिर संचालन को सत्यापित कर लेते हैं, तो NPS सर्वर को डीकमिशन कर दें और हार्डवेयर या वर्चुअल मशीन संसाधनों को वापस प्राप्त कर लें। संभावित त्रुटियाँ जो मैं अक्सर देखता हूँ वे हैं: सर्टिफिकेट ट्रस्ट चेन के मुद्दे - विशेष रूप से, क्लाइंट डिवाइस जो क्लाउड RADIUS सर्वर के सर्टिफिकेट पर भरोसा नहीं करते हैं क्योंकि CA उनके ट्रस्टेड स्टोर में नहीं है। कटओवर से पहले अपने MDM या ग्रुप पॉलिसी के माध्यम से इसका समाधान करें। दूसरी आम त्रुटि फ़ायरवॉल नियम हैं। क्लाउड RADIUS को आपके एक्सेस पॉइंट्स से क्लाउड एंडपॉइंट्स तक आउटबाउंड UDP 1812 और 1813 की आवश्यकता होती है, या RadSec के लिए TCP 2083 की आवश्यकता होती है। सुनिश्चित करें कि आपका नेटवर्क पेरिमीटर इस ट्रैफ़िक की अनुमति देता है। तीसरा: शेयर्ड सीक्रेट की जटिलता। यदि आपके मौजूदा NPS शेयर्ड सीक्रेट कमजोर हैं, तो इस माइग्रेशन का उपयोग करके उन्हें मजबूत क्रिप्टोग्राफिक सीक्रेट्स में बदलें, या इससे भी बेहतर, RadSec पर शिफ्ट हो जाएं और शेयर्ड सीक्रेट्स को पूरी तरह से समाप्त कर दें। --- खंड 4: त्वरित प्रश्नोत्तरी आइए इस विषय पर अक्सर पूछे जाने वाले प्रश्नों पर एक नज़र डालते हैं। क्या हम Active Directory को ऑन-प्रिमाइसेस रख सकते हैं? हाँ, बिल्कुल। क्लाउड RADIUS LDAPS के माध्यम से आपके ऑन-प्रिमाइसेस AD से जुड़ता है। आपकी डायरेक्टरी वहीं रहती है जहाँ वह है। यदि हमारा इंटरनेट कनेक्शन बंद हो जाता है तो क्या होगा? यह मुख्य निर्भरता बदलाव है। क्लाउड RADIUS के साथ, इंटरनेट कनेक्टिविटी प्रमाणीकरण के लिए एक निर्भरता बन जाती है। रिडंडेंट WAN लिंक या एक स्थानीय RADIUS प्रॉक्सी के साथ इसे कम करें जो आउटेज के दौरान ज्ञात उपकरणों के लिए प्रमाणीकरण को कैश करता है। क्या यह हमारे PCI-DSS अनुपालन को प्रभावित करता है? एक प्रमाणित क्लाउड RADIUS प्रदाता पर जाने से आमतौर पर आपकी अनुपालन स्थिति में सुधार होता है। सुनिश्चित करें कि आपका प्रदाता SOC 2 Type II रिपोर्ट प्रदान कर सकता है और आपके वार्षिक QSA मूल्यांकन दायरे में शामिल है। पूर्ण माइग्रेशन में कितना समय लगता है? एक एकल साइट के लिए, दो से चार सप्ताह। पचास या अधिक स्थानों की बहु-साइट संपत्ति के लिए, चरणबद्ध रोलआउट के साथ तीन से छह महीने की योजना बनाएं। - खंड 5: सारांश और अगले कदम समाप्त करने के लिए: ऑन-प्रिमाइसेस NPS से RADIUS-as-a-Service पर माइग्रेट करने का मामला परिचालन, वित्तीय और अनुपालन के आधार पर सम्मोहक है। जब एक संरचित समानांतर-चलने वाले चरण के साथ निष्पादित किया जाता है तो माइग्रेशन स्वयं कम जोखिम वाला होता है। मुख्य तकनीकी निर्णय आपके EAP विधि का चयन, आपका पहचान एकीकरण दृष्टिकोण, और क्या परिवहन सुरक्षा के लिए RadSec को लागू करना है - जिसकी मैं किसी भी नए परिनियोजन के लिए दृढ़ता से अनुशंसा करूँगा। आपके तत्काल अगले कदम: अपने वर्तमान RADIUS क्लाइंट और नीतियों का ऑडिट करें, पायलट वातावरण के लिए अपने क्लाउड RADIUS प्रदाता को शामिल करें, और शुरू करने से पहले अपने फ़ायरवॉल नियमों और प्रमाणपत्र ट्रस्ट श्रृंखलाओं की समीक्षा करें। Purple WiFi के गेस्ट एक्सेस प्लेटफॉर्म का उपयोग करने वाले संगठनों के लिए, RADIUS-as-a-Service क्षमता सीधे गेस्ट WiFi प्रमाणीकरण प्रवाह के साथ एकीकृत होती है, जिससे आपको कॉर्पोरेट 802.1X प्रमाणीकरण और गेस्ट नेटवर्क एक्सेस प्रबंधन दोनों के लिए एक सिंगल कंट्रोल प्लेन मिलता है - जिसमें एनालिटिक्स और अनुपालन रिपोर्टिंग पहले से निर्मित होती है। सुनने के लिए धन्यवाद। पूर्ण तकनीकी संदर्भ गाइड Purple वेबसाइट पर उपलब्ध है, और यदि आप आगे बढ़ने के लिए तैयार हैं तो हमारी समाधान टीम स्कोपिंग बातचीत के लिए उपलब्ध है। - स्क्रिप्ट का अंत

header_image.png

कार्यकारी सारांश (Executive Summary)

लगभग दो दशकों से, Microsoft का Network Policy Server (NPS) एंटरप्राइज़ नेटवर्क के लिए डिफ़ॉल्ट RADIUS कार्यान्वयन रहा है। हालांकि, जैसे-जैसे वेन्यू ऑपरेटर विभिन्न स्थानों पर अपने व्यवसाय को बढ़ाते हैं - रिटेल चेन से लेकर वैश्विक हॉस्पिटैलिटी समूहों तक - ऑन-प्रिमाइसेस प्रमाणीकरण (authentication) इन्फ्रास्ट्रक्चर के प्रबंधन का परिचालन बोझ एक महत्वपूर्ण जिम्मेदारी बन गया है।

RADIUS-as-a-Service पर माइग्रेट करने से प्रमाणीकरण एक प्रबंधित हार्डवेयर घटक से एक उपभोग की जाने वाली क्लाउड सेवा में बदल जाता है। यह आर्किटेक्चरल बदलाव स्टैंडअलोन NPS डिप्लॉयमेंट में अंतर्निहित विफलताओं के सिंगल पॉइंट्स को समाप्त करता है, हार्डवेयर रिफ्रेश साइकिल की आवश्यकता को हटाता है, और स्टेडियमों और कॉन्फ्रेंस सेंटरों जैसे उच्च-घनत्व वाले वातावरणों के लिए आवश्यक इलास्टिक स्केलेबिलिटी प्रदान करता है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, यह गाइड उत्पादन ट्रैफ़िक को प्रभावित किए बिना 802.1X प्रमाणीकरण को क्लाउड पर माइग्रेट करने, PCI-DSS और GDPR का अनुपालन सुनिश्चित करने और प्रमाणीकरण इन्फ्रास्ट्रक्चर OpEx को 80% तक कम करने के लिए एक विक्रेता-तटस्थ, संरचित कार्यप्रणाली प्रदान करता है।

तकनीकी गहराई: आर्किटेक्चर और मानक (Technical Deep-Dive: Architecture and Standards)

इस माइग्रेशन को समझने के लिए, हमें सबसे पहले IEEE 802.1X पोर्ट-आधारित एक्सेस कंट्रोल के वितरण में आर्किटेक्चरल बदलाव की जांच करनी होगी।

ऑन-प्रिमाइसेस NPS की सीमाएँ

एक पारंपरिक डिप्लॉयमेंट में, एक्सेस पॉइंट नेटवर्क एक्सेस सर्वर (NAS) के रूप में कार्य करता है, जो प्रमाणीकरण अनुरोधों को ऑन-प्रिमाइसेस NPS सर्वर पर फॉरवर्ड करता है। NPS सर्वर कनेक्शन अनुरोध नीतियों का मूल्यांकन करता है, आइडेंटिटी स्टोर (आमतौर पर LDAP के माध्यम से Active Directory) के खिलाफ क्रेडेंशियल सत्यापित करता है, और एक Access-Accept या Access-Reject संदेश वापस भेजता है।

यह मॉडल आधुनिक नेटवर्क के लिए तीन महत्वपूर्ण सीमाएँ प्रस्तुत करता है:

  1. हार्डवेयर निर्भरता और रखरखाव: NPS के लिए समर्पित भौतिक या वर्चुअल मशीनों की आवश्यकता होती है, जिसके लिए निरंतर पैचिंग, क्षमता नियोजन और जीवनचक्र प्रबंधन की आवश्यकता होती है।
  2. हाई-अवेलेबिलिटी की जटिलता: रिडंडेंसी प्राप्त करने के लिए फ़ेलओवर पेयर्स में NPS को डिप्लॉय करना पड़ता है, जिससे वास्तविक भौगोलिक रिडंडेंसी मिले बिना लाइसेंसिंग लागत दोगुनी हो जाती है।
  3. थ्रूपुट की अड़चनें (Throughput bottlenecks): चरम समवर्ती समय (जैसे स्टेडियम में प्रवेश या रिटेल के व्यस्ततम व्यावसायिक घंटों) के दौरान, एक एकल NPS इंस्टेंस बाधा बन सकता है, जिससे प्रमाणीकरण टाइमआउट और खराब उपयोगकर्ता अनुभव हो सकता है।

Cloud RADIUS आर्किटेक्चर

RADIUS-as-a-Service प्रमाणीकरण परत को अलग करता है। क्लाउड प्रदाता RADIUS सर्वरों के वितरित, भौगोलिक रूप से रिडंडेंट क्लस्टर संचालित करता है। NAS इन क्लाउड एंडपॉइंट्स की ओर इशारा करता है, और अनुरोधों को स्वचालित रूप से लोड-बैलेंस किया जाता है।

architecture_comparison.png

ट्रांसपोर्ट सुरक्षा: RadSec की भूमिका जब RADIUS क्लाउड पर माइग्रेट होता है, तो ऑथेंटिकेशन ट्रैफ़िक सार्वजनिक इंटरनेट से होकर गुजरता है। जबकि विरासत RADIUS साझा रहस्यों और MD5 हैशिंग पर निर्भर करता है, आधुनिक डिप्लॉयमेंट को RadSec (RADIUS over TLS, RFC 6614) को लागू करना चाहिए। RadSec पूरे RADIUS संवाद को एक TLS टनल (आमतौर पर TCP पोर्ट 2083) में समाहित करता है, जो HTTPS के समकक्ष ट्रांसपोर्ट-लेयर एन्क्रिप्शन के साथ NAS और क्लाउड RADIUS एंडपॉइंट के बीच आपसी ऑथेंटिकेशन प्रदान करता है।

पहचान एकीकरण क्लाउड RADIUS के लिए आपको अपनी उपयोगकर्ता निर्देशिका (user directory) को माइग्रेट करने की आवश्यकता नहीं होती है। सेवाएं आमतौर पर ऑन-प्रिमाइसेस Active Directory पर वापस LDAPS कनेक्शन का समर्थन करती हैं, या SAML या SCIM के माध्यम से Azure Active Directory (Entra ID) के साथ नेटिव API एकीकरण का समर्थन करती हैं। यह सुनिश्चित करता है कि आपकी मौजूदा उपयोगकर्ता जीवनचक्र प्रबंधन प्रक्रियाएं अपरिवर्तित रहें।

उन स्थानों के लिए जो Guest WiFi प्लेटफॉर्म का लाभ उठा रहे हैं, क्लाउड RADIUS सीधे एकीकृत होता है, जो कॉर्पोरेट 802.1X ऑथेंटिकेशन और गेस्ट नेटवर्क एक्सेस दोनों के लिए एक एकीकृत कंट्रोल प्लेन प्रदान करता है, जो उन्नत WiFi Analytics के साथ पूरा होता है।

कार्यान्वयन गाइड: 5-चरण पद्धति

बिना सेवा व्यवधान के माइग्रेशन को निष्पादित करने के लिए एक संरचित, चरणबद्ध दृष्टिकोण की आवश्यकता होती है।

migration_checklist.png

चरण 1: ऑडिट और इन्वेंट्री

कोई भी बदलाव करने से पहले, वर्तमान स्थिति का दस्तावेजीकरण करें:

  • RADIUS क्लाइंट: प्रत्येक NAS (वायरलेस एक्सेस पॉइंट, स्विच, VPN कंसन्ट्रेटर) की पहचान करें।
  • नीतियां: VLAN असाइनमेंट के लिए उपयोग किए जाने वाले वेंडर-विशिष्ट विशेषताओं (VSAs) सहित मौजूदा NPS कनेक्शन अनुरोध और नेटवर्क नीतियों का दस्तावेजीकरण करें।
  • EAP विधियाँ: पहचानें कि कौन सी एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल विधियाँ उपयोग में हैं (जैसे EAP-TLS, PEAP-MSCHAPv2)।

चरण 2: पायलट डिप्लॉयमेंट

क्लाउड RADIUS इंस्टेंस को प्रोविज़न करें और एक नॉन-प्रोडक्शन SSID या एक एकल परीक्षण साइट को कॉन्फ़िगर करें। पहचान निर्देशिका एकीकरण (जैसे Entra ID सिंक्रोनाइज़ेशन) को सत्यापित करें और पुष्टि करें कि EAP विधियाँ शुरू से अंत तक सही ढंग से काम करती हैं।

चरण 3: समानांतर संचालन (जोखिम शमन)

उत्पादन NAS उपकरणों को एक साथ क्लाउड RADIUS सर्वर (प्राथमिक) और लीगेसी NPS सर्वर (बैकअप) दोनों का उपयोग करने के लिए कॉन्फ़िगर करें। इस कॉन्फ़िगरेशन को न्यूनतम दो सप्ताह तक बनाए रखें। कटओवर से पहले किसी भी नीतिगत विसंगतियों की पहचान करने के लिए ऑथेंटिकेशन सफलता दर, लेटेंसी मेट्रिक्स और अकाउंटिंग डेटा प्रवाह की निगरानी करें।

चरण 4: कटओवर

एक निर्धारित रखरखाव विंडो के दौरान, NAS उपकरणों से लीगेसी NPS बैकअप कॉन्फ़िगरेशन को हटा दें। पूरी तरह से क्लाउड इंफ्रास्ट्रक्चर पर ट्रांजिशन करें। सुनिश्चित करें कि आपकी रोलबैक प्रक्रिया प्रलेखित और परीक्षित है।

चरण 5: डीकमिशनिंग

30 दिनों के स्थिर संचालन के बाद, लीगेसी NPS सर्वर को सुरक्षित रूप से डीकमिशन करें और कंप्यूट संसाधनों को पुनः प्राप्त करें।

सर्वोत्तम प्रथाएं और अनुपालन

अपने क्लाउड RADIUS आर्किटेक्चर को डिज़ाइन करते समय निम्नलिखित मानकों का पालन करें:

  • RadSec अनिवार्य करें: यदि आपका NAS हार्डवेयर RadSec (TCP 2083) का समर्थन करता है, तो मानक UDP 1812/1813 का उपयोग करके सार्वजनिक इंटरनेट पर कभी भी RADIUS ट्रैफ़िक न भेजें।
  • प्रमाणपत्र ट्रस्ट श्रृंखला: सुनिश्चित करें कि क्लाइंट डिवाइस उस सर्टिफिकेट अथॉरिटी (CA) पर भरोसा करते हैं जो क्लाउड RADIUS सर्वर प्रमाणपत्र जारी करता है। माइग्रेशन से पहले MDM या Group Policy के माध्यम से प्रबंधित डिवाइस पर रूट CA को पुश करें।
  • अनुपालन स्थिति: एक ऐसा क्लाउड RADIUS प्रदाता चुनें जो SOC 2 Type II सत्यापन और ISO 27001 प्रमाणन बनाए रखता है। यह आपके वार्षिक PCI DSS आकलनों को महत्वपूर्ण रूप से सरल बनाता है, विशेष रूप से रिटेल और हॉस्पिटैलिटी वातावरण के लिए।

व्यापक नेटवर्क डिज़ाइन सिद्धांतों के लिए, हमारे गाइड देखें: व्यवसाय के लिए WiFi सेट करना: एक 2026 गाइड और इष्टतम चैनल योजना के लिए RSSI और सिग्नल स्ट्रेंथ को समझना

समस्या निवारण और जोखिम न्यूनीकरण

विफलता मोड मूल कारण न्यूनीकरण रणनीति
प्रमाणीकरण टाइमआउट फ़ायरवॉल आउटबाउंड UDP 1812/1813 या TCP 2083 को ब्लॉक कर रहा है। सत्यापित करें कि पेरिमीटर फ़ायरवॉल नियम क्लाउड RADIUS प्रदाता के विशिष्ट IP रेंज में आउटबाउंड ट्रैफ़िक की अनुमति देते हैं।
प्रमाणपत्र ट्रस्ट त्रुटियां क्लाइंट डिवाइस के ट्रस्ट स्टोर से रूट CA गायब है। फेज़ 3 (समानांतर रनिंग) से पहले MDM/GPO के माध्यम से रूट CA तैनात करें।
VLAN असाइनमेंट विफलताएं क्लाउड नीति में वेंडर-विशिष्ट विशेषताएँ (VSAs) सही ढंग से मैप नहीं की गई हैं। फेज़ 1 के दौरान, NPS से सटीक VSA स्ट्रिंग स्वरूपों को क्लाउड RADIUS नीति इंजन में दोहराएं।
WAN आउटेज प्रभाव इंटरनेट कनेक्टिविटी के नुकसान से क्लाउड RADIUS तक पहुंच बाधित होती है। रिडंडेंट WAN लिंक तैनात करें, या एक स्थानीय RADIUS प्रॉक्सी लागू करें जो ज्ञात उपकरणों के लिए क्रेडेंशियल कैश करता है।

ROI और व्यावसायिक प्रभाव

RADIUS-as-a-Service पर माइग्रेट करने से मापने योग्य व्यावसायिक परिणाम मिलते हैं:

  • लागत में कमी: हार्डवेयर खरीद, Windows Server लाइसेंसिंग और पैचिंग एवं रखरखाव पर खर्च होने वाले इंजीनियरिंग घंटों को समाप्त करता है। विशिष्ट OpEx में 60-80% की कमी होती है।
  • विश्वसनीयता SLAs: एकल-साइट NPS परिनियोजन के विशिष्ट 97-98% उपलब्धता की तुलना में क्लाउड प्रदाता वित्तीय रूप से समर्थित 99.99% उपलब्धता SLAs प्रदान करते हैं।
  • चपलता: स्थानीय प्रमाणीकरण हार्डवेयर का प्रावधान किए बिना नई साइटों को तुरंत ऑनलाइन लाएं, जिससे परिवहन केंद्रों और स्वास्थ्य सेवा संगठनों के लिए परिनियोजन समय सीमा कम हो जाती है।

इस 10 मिनट की ब्रीफिंग में हमारी वरिष्ठ सलाहकार टीम को रणनीतिक निहितार्थों पर चर्चा करते हुए सुनें:

मुख्य परिभाषाएं

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने और उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) प्रबंधन प्रदान करता है।

नेटवर्क एक्सेस देने से पहले उपयोगकर्ता क्रेडेंशियल को मान्य करने के लिए एंटरप्राइज WiFi नेटवर्क द्वारा उपयोग किया जाने वाला मुख्य प्रोटोकॉल।

NPS (Network Policy Server)

RADIUS सर्वर और प्रॉक्सी का Microsoft कार्यान्वयन, जो Windows Server में एक भूमिका के रूप में बंडल है।

विरासत ऑन-प्रेमाइसेस इन्फ्रास्ट्रक्चर जिसे संगठन रखरखाव ओवरहेड को कम करने के लिए सक्रिय रूप से माइग्रेट कर रहे हैं।

NAS (Network Access Server)

वह डिवाइस जो नेटवर्क के गेटवे के रूप में कार्य करता है और RADIUS सर्वर को ऑथेंटिकेशन अनुरोध भेजता है।

वायरलेस संदर्भ में, NAS आमतौर पर WiFi एक्सेस पॉइंट या वायरलेस LAN कंट्रोलर होता है।

RadSec (RADIUS over TLS)

RFC 6614 में परिभाषित एक प्रोटोकॉल जो TLS के साथ एन्क्रिप्टेड TCP कनेक्शन पर RADIUS पैकेट स्थानांतरित करता है।

सार्वजनिक इंटरनेट को पार करते समय क्रेडेंशियल डेटा एन्क्रिप्टेड सुनिश्चित करने के लिए क्लाउड RADIUS तैनाती के लिए आवश्यक।

EAP (Extensible Authentication Protocol)

एक ऑथेंटिकेशन फ्रेमवर्क जिसका उपयोग अक्सर वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में किया जाता है।

यह निर्धारित करता है कि क्लाइंट और सर्वर क्रेडेंशियल का सुरक्षित रूप से आदान-प्रदान कैसे करते हैं (जैसे, EAP-TLS के माध्यम से प्रमाणपत्र, या PEAP के माध्यम से पासवर्ड)।

VSA (Vendor-Specific Attribute)

मालिकाना सुविधाओं का समर्थन करने के लिए RADIUS प्रोटोकॉल के भीतर हार्डवेयर विक्रेताओं द्वारा परिभाषित कस्टम विशेषताएँ।

माइग्रेशन के दौरान महत्वपूर्ण; ऑथेंटिकेटेड उपयोगकर्ताओं को विशिष्ट नेटवर्क VLAN में गतिशील रूप से असाइन करने के लिए अक्सर VSAs का उपयोग किया जाता है।

LDAPS (Lightweight Directory Access Protocol over SSL)

Active Directory जैसी निर्देशिका सेवाओं को क्वेरी करने और संशोधित करने के लिए एक सुरक्षित प्रोटोकॉल।

उपयोगकर्ता निर्देशिका को क्लाउड पर माइग्रेट किए बिना ऑन-प्रिमाइसेस पहचान स्टोर को सुरक्षित रूप से क्वेरी करने के लिए क्लाउड RADIUS सेवाओं द्वारा उपयोग किया जाता है।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (PNAC) के लिए एक IEEE मानक।

बुनियादी मानक जो यह सुनिश्चित करने के लिए RADIUS का उपयोग करता है कि केवल प्रमाणित डिवाइस ही एंटरप्राइज़ LAN या WLAN पर ट्रैफ़िक भेज सकें।

हल किए गए उदाहरण

एक 200-प्रॉपर्टी वाला होटल समूह वर्तमान में स्टाफ 802.1X ऑथेंटिकेशन के लिए प्रत्येक साइट पर स्थानीय NPS सर्वर चलाता है। वे Microsoft Entra ID (Azure AD) पर माइग्रेट कर रहे हैं और स्थानीय सर्वरों को हटाना चाहते हैं। उन्हें माइग्रेशन के प्रति कैसा दृष्टिकोण अपनाना चाहिए?

  1. एक क्लाउड RADIUS सेवा तैनात करें जो SAML/SCIM के माध्यम से Microsoft Entra ID के साथ मूल रूप से एकीकृत होती है।
  2. Microsoft Entra ID समूहों (जैसे, 'Front Desk', 'Management') को विशिष्ट VLAN VSAs से मैप करने के लिए क्लाउड RADIUS नीतियों को कॉन्फ़िगर करें।
  3. एक पायलट प्रॉपर्टी पर, क्लाउड RADIUS एंडपॉइंट से कनेक्ट करने के लिए RadSec का उपयोग करने हेतु एक्सेस पॉइंट्स को कॉन्फ़िगर करें।
  4. Microsoft Intune के माध्यम से सभी स्टाफ डिवाइसों पर क्लाउड RADIUS सर्वर का Root CA भेजें।
  5. पायलट साइट पर समानांतर ऑथेंटिकेशन चलाएं, फिर शेष 199 संपत्तियों में चरणबद्ध तरीके से रोल-आउट निष्पादित करें।
परीक्षक की टिप्पणी: यह दृष्टिकोण एस्टेट से 200 भौतिक/वर्चुअल सर्वरों को हटा देता है, जिससे हमले का जोखिम और रखरखाव ओवरहेड काफी कम हो जाता है। सीधे Microsoft Entra ID के साथ एकीकृत करने से केंद्रीय Active Directory में वापस जाने वाले जटिल साइट-टू-साइट VPN की आवश्यकता समाप्त हो जाती है।

50,000 की क्षमता वाले एक स्टेडियम में बड़े आयोजनों के दौरान उनके कॉर्पोरेट SSID पर ऑथेंटिकेशन विफलताओं का सामना करना पड़ता है क्योंकि उनका ऑन-प्रेमाइसेस NPS सर्वर एक साथ रोमिंग करने वाले हजारों डिवाइसों के थ्रूपुट को संभालने में असमर्थ है।

  1. मौजूदा NPS नीतियों और EAP विधियों का ऑडिट करें।
  2. प्रति सेकंड उच्च ऑथेंटिकेशन (APS) को संभालने के लिए ऑटो-स्केलिंग में सक्षम क्लाउड RADIUS सेवा का प्रावधान करें।
  3. क्लाउड RADIUS सेवा से स्टेडियम के ऑन-प्रेमाइसेस Active Directory में एक LDAPS कनेक्शन स्थापित करें।
  4. प्राथमिक ऑथेंटिकेशन सर्वर के रूप में क्लाउड RADIUS एंडपॉइंट्स को इंगित करने के लिए स्टेडियम के हाई-डेंसिटी वायरलेस LAN कंट्रोलर को अपडेट करें।
परीक्षक की टिप्पणी: RADIUS प्रोसेसिंग को क्लाउड क्लस्टर पर स्थानांतरित करके, स्टेडियम इलास्टिक कंप्यूट संसाधनों का लाभ उठाता है जो इवेंट प्रविष्टि के दौरान गतिशील रूप से स्केल होते हैं, जिससे आयोजन स्थल को महंगे स्थानीय हार्डवेयर को ओवर-प्रोविज़न करने की आवश्यकता के बिना बाधा का समाधान हो जाता है।

अभ्यास प्रश्न

Q1. आपका संगठन Cloud RADIUS पर माइग्रेट कर रहा है। सुरक्षा टीम का निर्देश है कि इंटरनेट पर कोई भी प्रमाणीकरण ट्रैफ़िक क्लियरटेक्स्ट में या MD5 जैसे अप्रचलित हैशिंग एल्गोरिदम का उपयोग करके नहीं भेजा जा सकता है। आपको अपने वायरलेस LAN कंट्रोलर पर कौन सा प्रोटोकॉल कॉन्फ़िगर करना होगा?

संकेत: उस प्रोटोकॉल को खोजें जो RADIUS को TLS टनल में लपेटता है।

मॉडल उत्तर देखें

आपको RadSec (RADIUS over TLS) कॉन्फ़िगर करना होगा। RadSec, NAS और क्लाउड RADIUS सर्वर के बीच TCP पोर्ट 2083 पर एक TLS टनल स्थापित करता है, जो ट्रांसपोर्ट-लेयर एन्क्रिप्शन और पारस्परिक प्रमाणीकरण प्रदान करता है, जिससे सुरक्षा टीम की आवश्यकताएं पूरी होती हैं।

Q2. अपने माइग्रेशन के चरण 3 (समानांतर संचालन) के दौरान, आप देखते हैं कि उपयोगकर्ता क्लाउड RADIUS सर्वर के खिलाफ सफलतापूर्वक प्रमाणित हो रहे हैं, लेकिन उन्हें सही नेटवर्क सेगमेंट में नहीं रखा जा रहा है। सबसे संभावित कॉन्फ़िगरेशन अंतर क्या है?

संकेत: एक RADIUS सर्वर किसी एक्सेस पॉइंट को यह कैसे बताता है कि किस नेटवर्क सेगमेंट का उपयोग करना है?

मॉडल उत्तर देखें

डायनेमिक VLAN असाइनमेंट के लिए वेंडर-स्पेसिफिक एट्रिब्यूट्स (VSAs) को क्लाउड RADIUS नीतियों में सही ढंग से कॉन्फ़िगर नहीं किया गया है। आपको यह सुनिश्चित करना होगा कि लेगेसी NPS सर्वर में उपयोग की जाने वाली सटीक VSA स्ट्रिंग्स को क्लाउड वातावरण में दोहराया जाए ताकि NAS को पता चले कि उपयोगकर्ता को कौन सा VLAN असाइन करना है।

Q3. एक क्लाइंट डिवाइस नए क्लाउड RADIUS सेवा के खिलाफ EAP-TLS प्रमाणीकरण में बार-बार विफल हो रहा है, लेकिन यह लेगेसी NPS सर्वर के खिलाफ ठीक काम करता है। डिवाइस लॉग 'untrusted server' त्रुटि दिखाते हैं। आप इसे कैसे हल करेंगे?

संकेत: EAP-TLS के लिए क्लाइंट को सर्वर की पहचान पर भरोसा करना आवश्यक है।

मॉडल उत्तर देखें

क्लाइंट डिवाइस के विश्वसनीय रूट स्टोर में वह रूट सर्टिफ़िकेट अथॉरिटी (CA) नहीं है जिसने क्लाउड RADIUS सर्वर का सर्टिफ़िकेट जारी किया था। आपको मोबाइल डिवाइस मैनेजमेंट (MDM) समाधान या समूह नीति का उपयोग करके क्लाइंट डिवाइस पर रूट CA को तैनात करना होगा।

इस श्रृंखला में आगे पढ़ें

हाइब्रिड वर्कफोर्स के लिए RADIUS as a Service के सुरक्षा लाभ

यह तकनीकी संदर्भ मार्गदर्शिका बताती है कि कैसे RADIUS as a Service वितरित स्थानों पर हाइब्रिड वर्कफोर्स के लिए नेटवर्क एक्सेस को सुरक्षित करता है। इसमें ऑन-प्रिमाइसेस RADIUS इंफ्रास्ट्रक्चर को क्लाउड-प्रबंधित ऑथेंटिकेशन सेवा से बदलने के लिए आर्किटेक्चर, सुरक्षा लाभ और डिप्लॉयमेंट चरणों को शामिल किया गया है। होटलों, रिटेल चेन, स्टेडियमों और सार्वजनिक क्षेत्र के संगठनों के IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, यह मार्गदर्शिका इस तिमाही में क्लाउड RADIUS माइग्रेशन का मूल्यांकन करने और उस पर कार्रवाई करने के लिए आवश्यक प्रमाण प्रदान करती है।

गाइड पढ़ें →

Cloud Directories (Azure AD और Google Workspace) के साथ RADIUS as a Service को एकीकृत करना

यह तकनीकी संदर्भ मार्गदर्शिका विवरण देती है कि एंटरप्राइज़ WiFi ऑथेंटिकेशन के लिए क्लाउड डायरेक्टरीज़ - Microsoft Entra ID और Google Workspace - के साथ RADIUS as a Service को कैसे एकीकृत किया जाए। यह ऑन-प्रिमाइसेस NPS से क्लाउड-नेटीव RADIUS में आर्किटेक्चरल बदलाव, सर्टिफिकेट-आधारित EAP-TLS ऑथेंटिकेशन के परिनियोजन, और हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्र के परिवेशों में वायरलेस एक्सेस को सुरक्षित करने के लिए परिचालन सर्वोत्तम प्रथाओं को कवर करती है। आईटी प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए जो पहले से ही क्लाउड पहचान में निवेश कर चुके हैं, यह गाइड डायरेक्टरी प्रबंधन और भौतिक नेटवर्क सुरक्षा के बीच की खाई को पाटती है।

गाइड पढ़ें →

Cloud RADIUS के साथ 802.1X Authentication कैसे लागू करें

यह तकनीकी संदर्भ मार्गदर्शिका वितरित एंटरप्राइज़ परिसरों में Cloud RADIUS के साथ 802.1X authentication लागू करने के लिए एक व्यापक ढांचा प्रदान करती है। यह नेटवर्क एक्सेस को सुरक्षित करने के साथ-साथ ऑन-प्रिमाइसेस इंफ्रास्ट्रक्चर के परिचालन ओवरहेड को समाप्त करने के लिए आवश्यक आर्किटेक्चर, EAP विधि चयन, परिनियोजन अनुक्रम और जोखिम शमन रणनीतियों का विवरण देती है।

गाइड पढ़ें →