मुख्य सामग्री पर जाएं

Cloud RADIUS क्या है? RADIUS-as-a-Service के लिए एक व्यापक गाइड

यह व्यापक गाइड Cloud RADIUS (RADIUS-as-a-Service) का पता लगाती है, जिसमें इसके आर्किटेक्चर, EAP विधियों और कार्यान्वयन रणनीतियों का विवरण दिया गया है। यह IT लीडर्स को ऑन-प्रिमाइसेस सर्वर से एक स्केलेबल, सुरक्षित और अनुपालन वाले क्लाउड-आधारित ऑथेंटिकेशन मॉडल में माइग्रेट करने पर कार्रवाई योग्य अंतर्दृष्टि प्रदान करता है।

📖 5 मिनट का पाठ📝 1,077 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Cloud RADIUS क्या है? RADIUS as a Service के लिए एक व्यापक गाइड। Purple WiFi इंटेलिजेंस पॉडकास्ट में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम Cloud RADIUS पर गहराई से चर्चा कर रहे हैं - यह क्या है, बैकएंड पर यह कैसे काम करता है, और सबसे महत्वपूर्ण बात, यह कैसे तय करें कि यह इस तिमाही में आपके संगठन के लिए सही कदम है या नहीं। चाहे आप एक होटल समूह, एक रिटेल एस्टेट, एक स्टेडियम, या एक सार्वजनिक-क्षेत्र का नेटवर्क चला रहे हों, यह आपके काम की बात है। आइए इस पर पृष्ठभूमि तैयार करें। परिचय और संदर्भ। यदि आपको कभी बोर्ड को यह समझाना पड़ा है कि रात के 2 बजे आपका नेटवर्क प्रमाणीकरण सर्वर क्यों बंद हो गया था - और इसे वापस चालू करने में तीन घंटे क्यों लगे - तो आप पहले से ही उस मुख्य समस्या को समझते हैं जिसे Cloud RADIUS हल करता है। पारंपरिक ऑन-प्रिमाइसेस RADIUS इन्फ्रास्ट्रक्चर शक्तिशाली है, लेकिन यह महत्वपूर्ण परिचालन ओवरहेड लाता है। हार्डवेयर खरीदना, पैच चक्रों का प्रबंधन करना, रिडंडेंसी को मैन्युअल रूप से आर्किटेक्ट करना, और आपके सर्वर रूम में बैठा विफलता का एक एकल बिंदु (सिंगल पॉइंट ऑफ़ फेलियर)। Cloud RADIUS, या RADIUS as a Service, उस प्रमाणीकरण परत (ऑथेंटिकेशन लेयर) को एक प्रबंधित, अत्यधिक उपलब्ध क्लाउड वातावरण में स्थानांतरित करता है। प्रोटोकॉल स्वयं - रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस - नहीं बदला है। यह अभी भी IEEE 802.1X नेटवर्क एक्सेस कंट्रोल की रीढ़ है, अभी भी वही तंत्र है जिसका उपयोग आपके एक्सेस पॉइंट यह सत्यापित करने के लिए करते हैं कि आपके नेटवर्क पर कौन प्रवेश कर सकता है। लेकिन इसे चलाने वाला इन्फ्रास्ट्रक्चर अब किसी और की समस्या है। और एंटरप्राइज़ IT में, यह एक महत्वपूर्ण बदलाव है। तो आइए तकनीकी विवरण में चलते हैं। तकनीकी विश्लेषण। RADIUS को मूल रूप से साल 2000 में प्रकाशित RFC 2865 में परिभाषित किया गया था, और यह उल्लेखनीय रूप से टिकाऊ रहा है। प्रोटोकॉल क्लाइंट-सर्वर मॉडल पर काम करता है। आपका नेटवर्क एक्सेस डिवाइस - चाहे वह एक WiFi एक्सेस पॉइंट हो, एक VPN कंसंट्रेटर हो, या एक वायर्ड स्विच हो - RADIUS क्लाइंट के रूप में कार्य करता है, जिसे नेटवर्क एक्सेस सर्वर या NAS भी कहा जाता है। जब कोई उपयोगकर्ता कनेक्ट करने का प्रयास करता है, तो NAS एक Access-Request पैकेट RADIUS सर्वर को फॉरवर्ड करता है, जो उपयोगकर्ता निर्देशिका - आमतौर पर Active Directory, LDAP, या क्लाउड पहचान प्रदाता - के खिलाफ क्रेडेंशियल्स को सत्यापित करता है और या तो Access-Accept या Access-Reject लौटाता है। यह मूल आदान-प्रदान है। लेकिन वास्तविक जटिलता इसके आस-पास की चीजों में है: EAP तरीके, VLAN असाइनमेंट, नीति प्रवर्तन (पॉलिसी एनफोर्समेंट), अकाउंटिंग रिकॉर्ड और सर्टिफिकेट प्रबंधन। पारंपरिक ऑन-प्रिमाइसेस परिनियोजन (डिप्लॉयमेंट) में, आप समर्पित हार्डवेयर पर FreeRADIUS या Microsoft NPS चला रहे होते हैं, अपने खुद के सर्टिफिकेट प्रबंधित कर रहे होते हैं, अपने खुद के फेलओवर को कॉन्फ़िगर कर रहे होते हैं, और अपने खुद के उपयोगकर्ता डेटाबेस सिंक को बनाए रख रहे होते हैं। एक सक्षम IT टीम वाले सिंगल-साइट डिप्लॉयमेंट के लिए, यह प्रबंधनीय है। लेकिन 50-साइट वाले रिटेल एस्टेट या कई देशों में फैली संपत्तियों वाले होटल समूह के लिए, यह एक महत्वपूर्ण परिचालन बोझ बन जाता है। Cloud RADIUS इन सभी चीज़ों को सरल बनाता है। ऑथेंटिकेशन लॉजिक, सर्टिफिकेट इंफ्रास्ट्रक्चर, रिडंडेंसी और पॉलिसी इंजन, ये सभी एक प्रबंधित सेवा के रूप में प्रदान किए जाते हैं। आपके एक्सेस पॉइंट्स क्लाउड-होस्टेड RADIUS एंडपॉइंट्स - आमतौर पर एक प्राइमरी और सेकेंडरी IP एड्रेस - की ओर इशारा करते हैं और यह सेवा इसके पीछे की सभी चीज़ों को संभालती है। आइए अब ऑथेंटिकेशन विधियों के बारे में बात करते हैं, क्योंकि यहीं पर तकनीकी निर्णय वास्तव में मायने रखते हैं। एंटरप्राइज़ WiFi में सबसे आम EAP विधि PEAP - Protected EAP - है, जो एक TLS सेशन के भीतर MSCHAPv2 को टनल करती है। यह व्यापक रूप से समर्थित है, मूल रूप से Active Directory के साथ काम करती है और अधिकांश Windows और Android डिवाइस के लिए डिफ़ॉल्ट है। हालांकि, PEAP में ज्ञात कमजोरियां हैं, विशेष रूप से सर्टिफिकेट वैलिडेशन को लेकर। यदि आपके क्लाइंट डिवाइस सर्वर सर्टिफिकेट को सत्यापित करने के लिए कॉन्फ़िगर नहीं हैं, तो आप अनधिकृत एक्सेस पॉइंट्स के माध्यम से क्रेडेंशियल हार्वेस्टिंग हमलों के शिकार हो सकते हैं। EAP-TLS सर्वोत्तम मानक है। यह आपसी सर्टिफिकेट ऑथेंटिकेशन का उपयोग करता है - सर्वर और क्लाइंट दोनों सर्टिफिकेट प्रस्तुत करते हैं - जो पासवर्ड हमले की संभावना को पूरी तरह से समाप्त कर देता है। इसके बदले में क्लाइंट सर्टिफिकेट डिप्लॉयमेंट की आवश्यकता होती है, जिसके लिए एक PKI इंफ्रास्ट्रक्चर और MDM एकीकरण की आवश्यकता होती है। प्रबंधित डिवाइस बेड़े के लिए, यह बिल्कुल सही विकल्प है। BYOD वातावरण के लिए, यह अधिक जटिल है। EAP-TTLS और EAP-FAST के बारे में जानना भी उपयोगी है। TTLS विशेष रूप से उन वातावरणों में आम है जहां आपको Linux सिस्टम सहित क्लाइंट डिवाइस की एक विस्तृत श्रृंखला का समर्थन करने की आवश्यकता होती है। EAP-FAST को Cisco द्वारा PEAP के विकल्प के रूप में विकसित किया गया था जो प्रोटेक्टेड एक्सेस क्रेडेंशियल्स का उपयोग करके सर्टिफिकेट वैलिडेशन निर्भरता से बचाता है। एक अच्छी तरह से आर्किटेक्ट की गई Cloud RADIUS सेवा इन सभी विधियों का समर्थन करती है और आपको प्रति-SSID पॉलिसी कॉन्फ़िगर करने की अनुमति देती है - ताकि आपका कॉर्पोरेट SSID सर्टिफिकेट वैलिडेशन के साथ EAP-TLS का उपयोग करे, आपका स्टाफ SSID Active Directory के साथ PEAP का उपयोग करे और आपका गेस्ट नेटवर्क RADIUS स्टैक से पूरी तरह अलग Captive Portal या सोशल लॉगिन फ्लो का उपयोग करे। इसी संदर्भ में - RADIUS और गेस्ट WiFi को अक्सर एक ही समझ लिया जाता है, लेकिन वे अलग-अलग उद्देश्यों को पूरा करते हैं। RADIUS ज्ञात उपयोगकर्ताओं और उपकरणों के लिए आपका ऑथेंटिकेशन और ऑथराइजेशन लेयर है। गेस्ट WiFi आमतौर पर एक Captive Portal फ्लो का उपयोग करता है, जो पूरी तरह से एक अलग तंत्र है। उदाहरण के लिए, Purple का प्लेटफॉर्म एक अलग पहचान लेयर के माध्यम से गेस्ट ऑथेंटिकेशन को संभालता है, फर्स्ट-पार्टी डेटा कैप्चर करता है और मार्केटिंग ऑटोमेशन को सक्षम बनाता है, जबकि RADIUS कॉर्पोरेट और स्टाफ नेटवर्क एक्सेस कंट्रोल को संभालता है। ये पूरक हैं, प्रतिस्पर्धी सिस्टम नहीं। अब, आइए बात करते हैं कि व्यावहारिक रूप से "cloud-hosted" का वास्तव में क्या अर्थ है। एक उचित रूप से निर्मित Cloud RADIUS सेवा ऑटोमैटिक फ़ेलओवर के साथ कई उपलब्धता क्षेत्रों में चलती है। प्रमाणीकरण (Authentication) अनुरोधों को नोड्स में लोड-बैलेंस किया जाता है, और यह सेवा चरम लोड के दौरान भी 100-मिलीसेकंड से कम का रिस्पॉन्स टाइम बनाए रखती है। किसी इवेंट के दौरान 40,000 एक साथ होने वाले कनेक्शन को संभालने वाले स्टेडियम के लिए, यह लेटेंसी और थ्रूपुट प्रोफ़ाइल महत्वपूर्ण है। एक सिंगल ऑन-प्रिमाइसेस सर्वर इस लचीलेपन का मुकाबला नहीं कर सकता है। अनुपालन के दृष्टिकोण से, UK और EU में काम करने वाले Cloud RADIUS प्रदाताओं को प्रमाणीकरण लॉग और उपयोगकर्ता डेटा को संभालने के तरीके में GDPR-अनुरूप होना आवश्यक है। रिटेल और हॉस्पिटैलिटी परिवेशों के लिए जो भुगतान कार्ड डेटा को भी प्रोसेस करते हैं, नेटवर्क सेगमेंटेशन और एक्सेस कंट्रोल से संबंधित PCI DSS आवश्यकताएं सीधे तौर पर प्रासंगिक हैं - RADIUS आपके कंट्रोल एनवायरनमेंट का हिस्सा है, और आपका QSA उचित कॉन्फ़िगरेशन और ऑडिट लॉगिंग का प्रमाण देखना चाहेगा। WPA3 पर भी ध्यान देना जरूरी है। WPA2 से WPA3 में संक्रमण व्यक्तिगत नेटवर्क के लिए साइमल्टेनियस ऑथेंटिकेशन ऑफ इक्वल्स - SAE - और कॉर्पोरेट परिवेशों के लिए WPA3-Enterprise पेश करता है। WPA3-Enterprise उच्चतम वर्गीकरण के लिए 192-बिट सुरक्षा मोड को अनिवार्य बनाता है, जिसके लिए विशिष्ट EAP विधियों और सिफर सुइट्स की आवश्यकता होती है। एक Cloud RADIUS सेवा को भविष्य के अनुकूल होने के लिए इन कॉन्फ़िगरेशन का समर्थन करने की आवश्यकता है। कार्यान्वयन की सिफारिशें और कमियां। ठीक है, आइए व्यावहारिक बनें। यदि आप इस तिमाही में परिनियोजन के लिए Cloud RADIUS का मूल्यांकन कर रहे हैं, तो मैं इन बातों पर ध्यान केंद्रित करूँगा। पहला, आपके पहचान प्रदाता (Identity Provider) के साथ एकीकरण। आपकी Cloud RADIUS सेवा को वहां सिंक होना चाहिए जहां आपके उपयोगकर्ता वास्तव में मौजूद हैं - चाहे वह Microsoft Entra ID हो, जिसे पहले Azure AD कहा जाता था, Google Workspace, Okta हो, या LDAP प्रॉक्सी के माध्यम से ऑन-प्रिमाइसेस Active Directory हो। इस एकीकरण की गुणवत्ता आपके परिचालन ओवरहेड को निर्धारित करती है। मैन्युअल CSV आयात की तुलना में मूल SAML या SCIM प्रोविज़निंग कहीं अधिक बेहतर है। दूसरा, प्रमाणपत्र प्रबंधन (Certificate Management)। यदि आप EAP-TLS तैनात कर रहे हैं, तो आपको क्लाइंट प्रमाणपत्रों को जारी करने, नवीनीकृत करने और निरस्त करने के तरीके पर एक स्पष्ट उत्तर की आवश्यकता है। सर्वोत्तम Cloud RADIUS सेवाओं में एक एकीकृत PKI शामिल होता है या यह आपके मौजूदा प्रमाणपत्र प्राधिकरण (Certificate Authority) के साथ सहजता से एकीकृत होता है। प्रमाणपत्र की समय सीमा समाप्त होना एंटरप्राइज़ WiFi में प्रमाणीकरण विफलताओं के सबसे आम कारणों में से एक है - उचित स्वचालन (Automation) के साथ इससे पूरी तरह से बचा जा सकता है। तीसरा, नेटवर्क डिवाइस अनुकूलता। आपके एक्सेस पॉइंट को RADIUS प्रमाणीकरण का समर्थन करने की आवश्यकता है - वस्तुतः सभी एंटरप्राइज़-ग्रेड AP करते हैं - लेकिन आपको अपने AP विक्रेता के कार्यान्वयन के खिलाफ अपनी चुनी हुई सेवा द्वारा समर्थित विशिष्ट EAP विधियों और RADIUS विशेषताओं को सत्यापित करना होगा। Cisco, Aruba, Juniper Mist, और Ruckus सभी के पास RADIUS विशेषताओं और CoA - Change of Authorisation - संदेशों को संभालने के अपने स्वयं के सूक्ष्म अंतर हैं।चौथा, रिडंडेंसी कॉन्फ़िगरेशन। हमेशा एक प्राइमरी और सेकेंडरी RADIUS सर्वर IP कॉन्फ़िगर करें। आपके NAS डिवाइस पर फ़ेलओवर टाइमआउट महत्वपूर्ण है - यदि इसे बहुत अधिक सेट किया जाता है, तो प्राइमरी तक पहुंच न होने पर उपयोगकर्ताओं को 30-सेकंड की प्रमाणीकरण देरी का सामना करना पड़ेगा। अधिकांश वातावरणों के लिए तत्काल फ़ेलओवर के साथ 3 से 5 सेकंड का टाइमआउट सही कॉन्फ़िगरेशन है। पांचवां - और यह वह है जिसे लोग अनदेखा कर देते हैं - अकाउंटिंग। RADIUS अकाउंटिंग रिकॉर्ड आपके ऑडिट ट्रेल हैं। वे आपको बताते हैं कि किसने, किस डिवाइस से, किस समय और कितने समय के लिए कनेक्ट किया। अनुपालन उद्देश्यों के लिए, विशेष रूप से हेल्थकेयर और सार्वजनिक क्षेत्र के वातावरण में, इन रिकॉर्डों को बनाए रखने और सुलभ होने की आवश्यकता होती है। सुनिश्चित करें कि आपका क्लाउड RADIUS प्रदाता आपको केवल प्रमाणीकरण लॉग ही नहीं, बल्कि अकाउंटिंग डेटा तक भी पहुंच प्रदान करता है। सामान्य गलतियाँ: शेयर्ड सीक्रेट की जटिलता। आपका RADIUS शेयर्ड सीक्रेट - आपके NAS और RADIUS सर्वर के बीच की प्री-शेयर्ड की - लंबी और रैंडम होनी चाहिए। छोटे या अनुमान लगाने योग्य शेयर्ड सीक्रेट एक वास्तविक अटैक वेक्टर हैं। कम से कम 32 वर्णों का उपयोग करें, जो रैंडम रूप से जनरेट किए गए हों, और उन्हें एक शेड्यूल पर रोटेट करें। IP व्हाइटलिस्टिंग पर भी नज़र रखें। कई क्लाउड RADIUS सेवाओं के लिए आवश्यक है कि आप अपने NAS डिवाइस के सोर्स IPs को व्हाइटलिस्ट करें। एक डायनेमिक क्लाउड वातावरण में जहाँ आपका AP मैनेजमेंट प्लेटफ़ॉर्म NAT का उपयोग कर सकता है, यह अप्रत्याशित प्रमाणीकरण विफलताओं का कारण बन सकता है। डिप्लॉयमेंट से पहले अपने नेटवर्क के NAT व्यवहार की पुष्टि करें। रैपिड-फायर Q&A। आइए मैं कुछ ऐसे सवालों पर नज़र डालूँ जो मुझसे नियमित रूप से पूछे जाते हैं। क्या क्लाउड RADIUS मल्टी-टीनेंट वातावरण का समर्थन कर सकता है? हाँ - अधिकांश एंटरप्राइज़ क्लाउड RADIUS सेवाएँ टीनेंट आइसोलेशन का समर्थन करती हैं, इसलिए एक प्रबंधित सेवा प्रदाता एक ही प्लेटफ़ॉर्म से कई ग्राहकों के लिए अलग RADIUS नीतियां चला सकता है। क्लाउड RADIUS प्रमाणीकरण के लिए सामान्य लेटेंसी क्या है? एक अच्छी तरह से डिज़ाइन की गई सेवा के लिए 100 मिलीसेकंड से कम। 802.1X हैंडशेक स्वयं कुछ ओवरहेड जोड़ता है, लेकिन अधिकांश EAP विधियों के लिए, कुल प्रमाणीकरण समय शुरू से अंत तक 500 मिलीसेकंड से कम होना चाहिए। क्या क्लाउड RADIUS OpenRoaming के साथ काम करता है? हाँ। OpenRoaming - वायरलेस ब्रॉडबैंड एलायंस का रोमिंग फ्रेमवर्क - अपने कोर में RADIUS फेडरेशन का उपयोग करता है। एक क्लाउड RADIUS सेवा जो Hotspot 2.0 और OpenRoaming का समर्थन करती है, आपके उपयोगकर्ताओं को वैश्विक स्तर पर भाग लेने वाले नेटवर्क पर स्वचालित रूप से प्रमाणित होने की अनुमति देती है। Purple अपने Connect लाइसेंस के तहत OpenRoaming का समर्थन करता है, जो फेडरेशन में एक पहचान प्रदाता के रूप में कार्य करता है। क्या क्लाउड RADIUS उच्च-सुरक्षा वातावरण के लिए उपयुक्त है? अधिकांश एंटरप्राइज़ वातावरणों के लिए, हाँ। क्लासीफाइड डेटा या विशिष्ट सरकारी सुरक्षा वर्गीकरण वाले वातावरण के लिए, आपको यह मूल्यांकन करने की आवश्यकता हो सकती है कि क्या कोई प्रबंधित क्लाउड सेवा आपकी विशिष्ट मान्यता आवश्यकताओं को पूरा करती है। सारांश और अगले कदम। संक्षेप में कहें तो: Cloud RADIUS नेटवर्क एक्सेस कंट्रोल का एक परिपक्व, प्रोडक्शन-रेडी दृष्टिकोण है जो सुरक्षा या क्षमता से समझौता किए बिना ऑन-प्रिमाइसेस RADIUS इन्फ्रास्ट्रक्चर के परिचालन बोझ को समाप्त करता है। मल्टी-साइट संगठनों के लिए, ROI का मामला बिल्कुल स्पष्ट है - आप हार्डवेयर कैपेक्स (capex) को समाप्त करते हैं, IT ओवरहेड को कम करते हैं, इन-बिल्ट रिडंडेंसी प्राप्त करते हैं, और एक ऐसी सेवा पाते हैं जो आपके एस्टेट के साथ स्केल होती है। मुख्य निर्णय ये हैं: आपके डिवाइस बेड़े के लिए कौन सा EAP तरीका सही है, आप अपने मौजूदा आइडेंटिटी प्रोवाइडर के साथ कैसे एकीकृत करते हैं, और क्या आपकी चुनी हुई सेवा आपको वे अनुपालन (compliance) और ऑडिट क्षमताएं प्रदान करती है जिनकी आपके संगठन को आवश्यकता है। यदि आप एक होटल समूह, एक रिटेल चेन चला रहे हैं, या सार्वजनिक-क्षेत्र के नेटवर्क का प्रबंधन कर रहे हैं, तो मैं एक सिंगल साइट पर प्रूफ-ऑफ-कांसेप्ट के साथ शुरुआत करने की सलाह दूंगा - अपना RADIUS कॉन्फ़िगरेशन सही करें, अपने आइडेंटिटी प्रोवाइडर के साथ एकीकरण को सत्यापित करें, और अपने पूरे एस्टेट में लागू करने से पहले ऑथेंटिकेशन लेटेंसी को मापें। WiFi एनालिटिक्स, गेस्ट नेटवर्क मैनेजमेंट, और कैसे Purple का प्लेटफॉर्म RADIUS-आधारित ऑथेंटिकेशन के साथ एकीकृत होता है, इस बारे में अधिक जानने के लिए purple.ai पर जाएं। सुनने के लिए धन्यवाद।

header_image.png

कार्यकारी सारांश (Executive Summary)

आधुनिक एंटरप्राइज़ नेटवर्क के लिए, पारंपरिक ऑन-प्रिमाइसेस RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस) आर्किटेक्चर एक महत्वपूर्ण परिचालन बाधा बनता है। भौतिक सर्वरों का प्रबंधन करना, ऑपरेटिंग सिस्टम को पैच करना, सर्टिफिकेट अथॉरिटी को संभालना और मल्टी-साइट रिडंडेंसी को डिजाइन करना मूल्यवान IT संसाधनों की खपत करता है। Cloud RADIUS (या RADIUS-as-a-Service) IEEE 802.1X ऑथेंटिकेशन लेयर को प्रबंधित, अत्यधिक उपलब्ध क्लाउड इन्फ्रास्ट्रक्चर पर स्थानांतरित करके इस समस्या का समाधान करता है। यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs के लिए deployment रणनीतियों का मूल्यांकन करने के लिए Cloud RADIUS का एक व्यापक तकनीकी अवलोकन प्रदान करती है। कैपेक्स-भारी, मैन्युअल रूप से बनाए रखने वाले सिस्टम से एक लचीले, विश्व स्तर पर वितरित मॉडल में स्थानांतरित होकर, रिटेल , हॉस्पिटैलिटी और ट्रांसपोर्ट क्षेत्रों के संगठन मजबूत एक्सेस नीतियों को लागू कर सकते हैं, अनुपालन (जैसे कि PCI-DSS और GDPR) प्राप्त कर सकते हैं, और Microsoft Entra ID और Google Workspace जैसे आधुनिक पहचान प्रदाताओं के साथ सहजता से एकीकृत हो सकते हैं।

तकनीकी गहन विश्लेषण (Technical Deep-Dive)

RADIUS आर्किटेक्चर का विकास

RADIUS, जिसे मूल रूप से RFC 2865 में परिभाषित किया गया है, एक क्लाइंट-सर्वर मॉडल पर काम करता है जिसमें एक नेटवर्क एक्सेस सर्वर (NAS) - जैसे कि एक WiFi एक्सेस पॉइंट या एक VPN कंसंट्रेटर - ऑथेंटिकेशन अनुरोधों को एक केंद्रीय सर्वर पर भेजता है। ऐतिहासिक रूप से, इसका मतलब समर्पित हार्डवेयर पर FreeRADIUS या Microsoft नेटवर्क पॉलिसी सर्वर (NPS) को तैनात करना था। हालांकि यह सिंगल-साइट डिप्लॉयमेंट के लिए व्यावहारिक है, लेकिन इस आर्किटेक्चर को वितरित वातावरणों में स्केल करने से महत्वपूर्ण लेटेंसी और रिडंडेंसी की चुनौतियाँ पैदा होती हैं।

Cloud RADIUS अंतर्निहित इन्फ्रास्ट्रक्चर को एब्सट्रैक्ट करता है। ऑथेंटिकेशन अनुरोधों को विश्व स्तर पर वितरित क्लाउड एंडपॉइंट्स पर रूट किया जाता है, जिससे पीक लोड के तहत भी 100 मिलीसेकंड से कम का रिस्पॉन्स टाइम सुनिश्चित होता है। यह लचीलापन स्टेडियमों या कॉन्फ्रेंस सेंटरों जैसे उच्च-घनत्व वाले वातावरण के लिए महत्वपूर्ण है।

architecture_overview.png

EAP तरीके और सुरक्षा स्थिति

एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) पद्धति का चयन मौलिक रूप से आपकी सुरक्षा स्थिति को निर्धारित करता है:

  • PEAP (प्रोटेक्टेड EAP): एक TLS सेशन के भीतर एक MSCHAPv2 टनल स्थापित करता है। हालांकि PEAP व्यापक रूप से समर्थित है और Active Directory के साथ एकीकृत करना आसान है, लेकिन यदि क्लाइंट डिवाइसों को सर्वर सर्टिफिकेट को मान्य करने के लिए कड़ाई से कॉन्फ़िगर नहीं किया गया है, तो यह अनधिकृत एक्सेस पॉइंट्स के माध्यम से क्रेडेंशियल चोरी के प्रति संवेदनशील है।
  • EAP-TLS: एंटरप्राइज़ गोल्ड स्टैंडर्ड। इसमें पारस्परिक प्रमाणपत्र प्रमाणीकरण की आवश्यकता होती है — सर्वर और क्लाइंट दोनों को वैध प्रमाणपत्र प्रस्तुत करने होंगे। यह पासवर्ड-आधारित हमलों को पूरी तरह से समाप्त कर देता है, लेकिन प्रमाणपत्र परिनियोजन के लिए एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) और मोबाइल डिवाइस मैनेजमेंट (MDM) एकीकरण की मांग करता है।
  • EAP-TTLS और EAP-FAST: उन परिदृश्यों के लिए उपयुक्त विकल्प प्रदान करते हैं जिनमें व्यापक क्लाइंट संगतता (विरासत या Linux सिस्टम सहित) की आवश्यकता होती है, या जहां प्रमाणपत्र सत्यापन निर्भरता को बायपास करने के लिए प्रोटेक्टेड एक्सेस क्रेडेंशियल्स (PACs) की आवश्यकता होती है।

WPA3 और OpenRoaming एकीकरण

आधुनिक परिनियोजन में WPA3-Enterprise को ध्यान में रखना चाहिए, जो उच्चतम सुरक्षा स्तर के लिए 192-बिट सुरक्षा मोड को अनिवार्य करता है, जिसके लिए विशिष्ट सिफर सूट की आवश्यकता होती है। इसके अतिरिक्त, क्लाउड RADIUS OpenRoaming जैसे फ़ेडरेशन फ़्रेमवर्क में भागीदारी की सुविधा प्रदान करता है। उदाहरण के लिए, Purple अपने Connect लाइसेंस के तहत OpenRoaming के लिए एक मुफ्त पहचान प्रदाता के रूप में कार्य करता है, जिससे दुनिया भर के भागीदार नेटवर्क पर निर्बाध, सुरक्षित प्रमाणीकरण की अनुमति मिलती है।

कार्यान्वयन मार्गदर्शिका

संक्रमण के दौरान शून्य डाउनटाइम सुनिश्चित करने के लिए क्लाउड RADIUS को तैनात करने के लिए एक व्यवस्थित दृष्टिकोण की आवश्यकता होती है।

चरण 1: पहचान प्रदाता (IdP) एकीकरण

आपके क्लाउड RADIUS इंस्टेंस को आपके आधिकारिक उपयोगकर्ता निर्देशिका के साथ सिंक्रनाइज़ होना चाहिए। Microsoft Entra ID, Google Workspace, या Okta के साथ मूल SAML या SCIM प्रावधान मैनुअल LDAP प्रॉक्सी या CSV आयात से बेहतर है। यह सुनिश्चित करता है कि जब किसी कर्मचारी को HR सिस्टम से हटा दिया जाता है, तो उनकी नेटवर्क पहुंच तुरंत रद्द कर दी जाती है।

चरण 2: प्रमाणपत्र प्रबंधन रणनीति

यदि EAP-TLS तैनात कर रहे हैं, तो अपने प्रमाणपत्र जीवनचक्र को परिभाषित करें। एक क्लाउड RADIUS प्रदाता चुनें जिसमें एक एकीकृत PKI शामिल हो या जो आपके मौजूदा प्रमाणपत्र प्राधिकरण (CA) के साथ निर्बाध रूप से एकीकृत हो। समाप्त हो चुके प्रमाणपत्रों के कारण होने वाली प्रमाणीकरण विफलताओं को रोकने के लिए अपने MDM प्लेटफ़ॉर्म (जैसे Intune या Jamf) के माध्यम से प्रमाणपत्र जारी करने और रद्द करने को स्वचालित करें।

चरण 3: नेटवर्क डिवाइस कॉन्फ़िगरेशन

प्राथमिक और माध्यमिक क्लाउड RADIUS IP पतों को इंगित करने के लिए अपने NAS उपकरणों (एक्सेस पॉइंट, स्विच) को कॉन्फ़िगर करें। सुनिश्चित करें कि साझा रहस्य क्रिप्टोग्राफ़िक रूप से जटिल हों (कम से कम 32 यादृच्छिक वर्ण)। फ़ेलओवर टाइमआउट सेटिंग्स को समायोजित करें; 3 से 5 सेकंड का टाइमआउट इष्टतम है, जो प्राथमिक नोड के अनुपलब्ध होने पर लंबे समय तक प्रमाणीकरण देरी को रोकता है।

चरण 4: नीति परिभाषा

प्रति-SSID के आधार पर नीतियां स्थापित करें। उदाहरण के लिए, कॉर्पोरेट नेटवर्क के लिए EAP-TLS, पुराने IoT उपकरणों के लिए PEAP लागू करें, और अतिथि पहुंच को अलग करें। ध्यान दें कि RADIUS ज्ञात उपयोगकर्ताओं को संभालता है; आगंतुकों के लिए, फ़र्स्ट-पार्टी डेटा कैप्चर करने के लिए एक Captive Portal के साथ एक समर्पित Guest WiFi समाधान तैनात करें, जो WiFi Analytics प्लेटफ़ॉर्म के साथ एकीकृत हो। आगंतुक जुड़ाव के बारे में अधिक जानने के लिए, How to Improve Guest Satisfaction: The Ultimate Guide देखें।

comparison_chart.png

सर्वोत्तम प्रथाएं

  • सख्त सर्वर सर्टिफिकेट सत्यापन लागू करें: PEAP डिप्लॉयमेंट के लिए, Group Policy या MDM प्रोफाइल को पुश करें जो क्लाइंट्स को RADIUS सर्वर सर्टिफिकेट को सत्यापित करने के लिए बाध्य करते हैं और किसी विशिष्ट रूट CA तक ट्रस्ट को सीमित करते हैं।
  • अकाउंटिंग और ऑथेंटिकेशन ट्रैफ़िक को विभाजित करें: सुनिश्चित करें कि RADIUS अकाउंटिंग डेटा की सक्रिय रूप से निगरानी और उसे सुरक्षित रखा जाता है। यह ऑडिट ट्रेल अनुपालन रिपोर्टिंग (जैसे PCI-DSS और HIPAA) के लिए आवश्यक है।
  • ऑथेंटिकेशन लेटेंसी की निगरानी करें: उच्च लेटेंसी अक्सर सब-ऑप्टिमल राउटिंग या IdP सिंक्रोनाइज़ेशन समस्याओं को दर्शाती है। Access-Request से Access-Accept पैकेट तक लगने वाले समय को ट्रैक करने के लिए मॉनिटरिंग टूल्स का उपयोग करें।
  • सिग्नल और चैनल प्लानिंग को अनुकूलित करें: विश्वसनीय ऑथेंटिकेशन एक स्थिर फिजिकल लेयर पर निर्भर करता है। यह सुनिश्चित करने के लिए कि आपका RF वातावरण निर्बाध 802.1X रोमिंग का समर्थन करता है, Understanding RSSI and Signal Strength for Optimal Channel Planning जैसी गाइड देखें।

समस्या निवारण और जोखिम न्यूनीकरण

एक प्रबंधित सेवा के साथ भी, गलत कॉन्फ़िगरेशन के कारण एक्सेस विफल हो सकता है। सामान्य विफलता मोड में शामिल हैं:

  • सर्टिफिकेट की समय सीमा समाप्त होना (एक्सपायरी): EAP-TLS विफलताओं का प्रमुख कारण। न्यूनीकरण: CA या सर्वर सर्टिफिकेट की समय सीमा समाप्त होने से 30 दिन पहले स्वचालित अलर्ट लागू करें।
  • साझा सीक्रेट (Shared secret) का बेमेल होना: आम तौर पर नए एक्सेस पॉइंट्स जोड़ते समय ऐसा होता है। न्यूनीकरण: अपने नेटवर्क प्रबंधन सिस्टम में कॉन्फ़िगरेशन टेम्पलेट्स को मानकीकृत करें।
  • NAT और IP अनुमति सूची (allowlisting) से जुड़ी समस्याएं: क्लाउड RADIUS प्रदाताओं को आमतौर पर NAS IP अनुमति सूची की आवश्यकता होती है। यदि आपकी ब्रांच साइटें डायनेमिक IP या जटिल NAT कॉन्फ़िगरेशन का उपयोग करती हैं, तो ऑथेंटिकेशन अनुरोध खारिज किए जा सकते हैं। न्यूनीकरण: स्टेटिक इग्रेस (egress) IP का उपयोग करें या जहां आवश्यक हो वहां एक स्थानीय RADIUS प्रॉक्सी तैनात करें।
  • IdP सिंक्रोनाइज़ेशन विफलताएं: यदि क्लाउड डायरेक्टरी ऑन-प्रिमाइसेस AD के साथ सिंक्रोनाइज़ होने में विफल रहती है, तो नए उपयोगकर्ता ऑथेंटिकेट करने में असमर्थ होंगे। न्यूनीकरण: SCIM/LDAP कनेक्टर स्थिति की सक्रिय रूप से निगरानी करें।

ROI और व्यावसायिक प्रभाव

क्लाउड RADIUS पर स्विच करने से मापने योग्य व्यावसायिक मूल्य मिलता है:

  1. कम बुनियादी ढांचा पूंजीगत व्यय (Capex): हर प्रमुख साइट पर फिजिकल RADIUS सर्वर खरीदने, रैक करने और बिजली देने की कोई आवश्यकता नहीं है।
  2. कम परिचालन ओवरहेड: IT टीमों को अब ऑपरेटिंग सिस्टम की कमजोरियों को पैच करने या सर्वर फेलओवर को मैन्युअल रूप से प्रबंधित करने में घंटों खर्च नहीं करने पड़ते हैं। विक्रेता-प्रबंधित अपडेट निरंतर अनुपालन सुनिश्चित करते हैं।
  3. बेहतर सुरक्षा स्थिति: क्लाउड PKI के माध्यम से EAP-TLS पर स्विच करने से क्रेडेंशियल चोरी का जोखिम कम हो जाता है, जिससे डेटा उल्लंघन की संभावित लागत सीधे तौर पर कम हो जाती है।4. चपलता और स्केलेबिलिटी: नया रिटेल स्टोर या होटल खोलते समय, नेटवर्क ऑथेंटिकेशन को हफ्तों के बजाय मिनटों में सेटअप किया जा सकता है। व्यावहारिक रोलआउट रणनीतियों के लिए, व्यवसाय के लिए WiFi सेटअप करना: एक 2026 प्लेबुक देखें।

केंद्रीकृत एक्सेस कंट्रोल के साथ, संगठन न केवल अपनी सुरक्षा को मजबूत करते हैं बल्कि पुराने बुनियादी ढांचे को बनाए रखने के बजाय सीनियर इंजीनियरिंग टीम को रणनीतिक और उच्च-प्रभाव वाले प्रोजेक्ट्स पर ध्यान केंद्रित करने के लिए भी मुक्त करते हैं।

मुख्य परिभाषाएं

Cloud RADIUS

एक प्रबंधित सेवा जो अत्यधिक उपलब्ध क्लाउड वातावरण में रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस प्रोटोकॉल को होस्ट करती है, जिससे ऑन-प्रिमाइसेस ऑथेंटिकेशन सर्वर की आवश्यकता समाप्त हो जाती है।

सुरक्षित 802.1X नेटवर्क एक्सेस बनाए रखते हुए हार्डवेयर कैपेक्स और परिचालन ओवरहेड को कम करने की तलाश कर रही IT टीमों द्वारा मूल्यांकन किया गया।

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

एक अत्यधिक सुरक्षित ऑथेंटिकेशन विधि जिसमें क्लाइंट और सर्वर दोनों को अपनी पहचान साबित करने के लिए डिजिटल सर्टिफिकेट प्रस्तुत करने की आवश्यकता होती है।

पासवर्ड-आधारित हमलों को रोकने के लिए एंटरप्राइज नेटवर्क के लिए अनुशंसित मानक, जिसे डिप्लॉयमेंट के लिए PKI और MDM की आवश्यकता होती है।

NAS (Network Access Server)

वह डिवाइस - जैसे कि एक WiFi एक्सेस पॉइंट, स्विच, या VPN कंसंट्रेटर - जो RADIUS क्लाइंट के रूप में कार्य करता है, उपयोगकर्ता क्रेडेंशियल्स को RADIUS सर्वर पर अग्रेषित करता है।

नेटवर्क इंजीनियरों को 802.1X ऑथेंटिकेशन सक्षम करने के लिए सही RADIUS सर्वर IPs और शेयर्ड सीक्रेट्स के साथ NAS को कॉन्फ़िगर करना होगा।

Shared Secret

केवल NAS और RADIUS सर्वर को ज्ञात एक क्रिप्टोग्राफ़िक टेक्स्ट स्ट्रिंग, जिसका उपयोग RADIUS पैकेट को एन्क्रिप्ट करने और प्रेषक की प्रामाणिकता को सत्यापित करने के लिए किया जाता है।

एक कमजोर शेयर्ड सीक्रेट एक बड़ा सुरक्षा खतरा है; एंटरप्राइज डिप्लॉयमेंट में लंबे, बेतरतीब ढंग से जेनरेट किए गए स्ट्रिंग्स का उपयोग किया जाना चाहिए।

SCIM (System for Cross-domain Identity Management)

एक ओपन स्टैंडर्ड जो IT सिस्टम या क्लाउड एप्लिकेशन के बीच उपयोगकर्ता पहचान की जानकारी के आदान-प्रदान को स्वचालित करता है।

प्राथमिक HR या IT पहचान प्रणाली में परिवर्तन होने पर Cloud RADIUS डायरेक्टरी में उपयोगकर्ताओं को स्वचालित रूप से जोड़ने और हटाने के लिए उपयोग किया जाता है।

OpenRoaming

Wireless Broadband Alliance द्वारा विकसित एक फ़ेडरेशन फ्रेमवर्क जो उपयोगकर्ताओं को विश्व स्तर पर भाग लेने वाले WiFi नेटवर्क से स्वचालित और सुरक्षित रूप से जुड़ने की अनुमति देता है।

Cloud RADIUS प्रदाता जो OpenRoaming का समर्थन करते हैं (जैसे Purple) वे परिसरों को Captive Portal के बिना आगंतुकों को निर्बाध, सुरक्षित कनेक्टिविटी प्रदान करने की अनुमति देते हैं।

Accounting Logs

RADIUS सर्वर द्वारा उत्पन्न रिकॉर्ड जो उपयोगकर्ता के कनेक्शन इवेंट का विवरण देते हैं, जिसमें प्रारंभ समय, समाप्ति समय, स्थानांतरित डेटा और असाइन किया गया IP पता शामिल है।

सुरक्षा ऑडिट, समस्या निवारण और PCI-DSS और GDPR जैसे फ्रेमवर्क के अनुपालन को प्रदर्शित करने के लिए महत्वपूर्ण।

Change of Authorization (CoA)

एक RADIUS सुविधा जो सर्वर को उपयोगकर्ता के सक्रिय सेशन को गतिशील रूप से संशोधित करने की अनुमति देती है, जैसे कि उनके VLAN को बदलना या उन्हें डिस्कनेक्ट करना, बिना दोबारा कनेक्शन की आवश्यकता के।

नेटवर्क एडमिनिस्ट्रेटर द्वारा किसी प्रभावित डिवाइस को तुरंत क्वारंटीन करने या सेशन के बीच में नए नीति प्रतिबंध लागू करने के लिए उपयोग किया जाता है।

हल किए गए उदाहरण

एक 200 कमरों वाला होटल वर्तमान में PEAP के माध्यम से स्टाफ WiFi ऑथेंटिकेशन के लिए ऑन-प्रिमाइसेस Microsoft NPS का उपयोग करता है। वे पीक चेक-इन घंटों के दौरान ऑथेंटिकेशन टाइमआउट का अनुभव कर रहे हैं और बेहतर सुरक्षा और विश्वसनीयता के लिए EAP-TLS के साथ Cloud RADIUS पर माइग्रेट करना चाहते हैं। IT निदेशक को इस माइग्रेशन को कैसे आर्किटेक्ट करना चाहिए?

  1. एक Cloud RADIUS टेनेंट को डिप्लॉय करें और स्वचालित उपयोगकर्ता जीवनचक्र प्रबंधन के लिए इसे SCIM के माध्यम से होटल के Microsoft Entra ID के साथ एकीकृत करें। 2. क्लाइंट सर्टिफिकेट जारी करने के लिए Cloud RADIUS एकीकृत PKI को कॉन्फ़िगर करें। 3. सभी स्टाफ डिवाइसों पर Root CA, क्लाइंट सर्टिफिकेट और EAP-TLS के लिए कॉन्फ़िगर की गई एक नई WiFi प्रोफाइल को पुश करने के लिए मौजूदा MDM (जैसे, Intune) का उपयोग करें। 4. एक नए, जटिल 32-अक्षर वाले शेयर्ड सीक्रेट का उपयोग करके, प्राथमिक और माध्यमिक Cloud RADIUS IPs को इंगित करने के लिए होटल के एक्सेस पॉइंट्स को कॉन्फ़िगर करें। 5. ऑन-प्रिमाइसेस सर्वर को बंद करने से पहले दो सप्ताह की संक्रमण अवधि के लिए अलग-अलग SSID पर पुराने NPS और नए Cloud RADIUS दोनों को समानांतर रूप से चलाएं।
परीक्षक की टिप्पणी: यह दृष्टिकोण संक्रमण के दौरान समानांतर SSID चलाकर जोखिम को कम करता है। EAP-TLS पर जाने से PEAP से जुड़े क्रेडेंशियल हार्वेस्टिंग के जोखिम समाप्त हो जाते हैं, और सर्टिफिकेट डिप्लॉयमेंट के लिए MDM का लाभ उठाने से एंड-यूजर्स के लिए शून्य घर्षण सुनिश्चित होता है। SCIM एकीकरण गारंटी देता है कि जब कर्मचारी छोड़ते हैं, तो उनकी पहुंच तुरंत रद्द कर दी जाती है।

500 स्थानों वाले एक राष्ट्रीय रिटेल चेन को अपने पॉइंट-ऑफ-सेल (POS) टर्मिनलों के लिए PCI DSS अनुपालन सुनिश्चित करने की आवश्यकता है, जो WiFi के माध्यम से कनेक्ट होते हैं। वे Cloud RADIUS पर जा रहे हैं। अनुपालन पूरा करने के लिए किन विशिष्ट कॉन्फ़िगरेशन की आवश्यकता है?

  1. सख्त नेटवर्क सेगमेंटेशन लागू करें: POS टर्मिनलों को एक अलग VLAN में मैप किए गए एक समर्पित, छिपे हुए SSID पर ऑथेंटिकेट होना चाहिए। 2. पारस्परिक ऑथेंटिकेशन सुनिश्चित करने और अनधिकृत डिवाइसों को POS नेटवर्क में शामिल होने से रोकने के लिए सभी POS डिवाइसों के लिए EAP-TLS ऑथेंटिकेशन लागू करें। 3. PCI DSS द्वारा अनिवार्य किए गए अनुसार, न्यूनतम एक वर्ष के लिए सभी अकाउंटिंग लॉग (Access-Accept, Access-Reject, कनेक्शन की अवधि) को बनाए रखने के लिए Cloud RADIUS सेवा को कॉन्फ़िगर करें। 4. सुनिश्चित करें कि ब्रांच APs और Cloud RADIUS सेवा के बीच RADIUS शेयर्ड सीक्रेट्स को एक स्वचालित स्क्रिप्ट का उपयोग करके हर 90 दिनों में घुमाया जाए।
परीक्षक की टिप्पणी: यह समाधान तार्किक सेगमेंटेशन, मजबूत एक्सेस कंट्रोल और ऑडिटेबिलिटी के लिए PCI DSS आवश्यकताओं को सीधे संबोधित करता है। अनुपालन के लिए केवल MAC एड्रेस फ़िल्टरिंग पर निर्भर रहना अपर्याप्त है; EAP-TLS डिवाइस की पहचान का आवश्यक क्रिप्टोग्राफिक प्रमाण प्रदान करता है। क्लाउड में अकाउंटिंग लॉग बनाए रखने से QSA के लिए ऑडिट प्रक्रिया सरल हो जाती है।

अभ्यास प्रश्न

Q1. आपका संगठन ऑन-प्रिमाइसेस Active Directory से Google Workspace पर माइग्रेट कर रहा है। आप वर्तमान में WiFi प्रमाणीकरण के लिए PEAP-MSCHAPv2 का उपयोग करते हैं। यह एक समस्या क्यों है, और अनुशंसित समाधान क्या है?

संकेत: विचार करें कि PEAP डायरेक्टरी प्रोटोकॉल के विरुद्ध क्रेडेंशियल को कैसे मान्य करता है।

मॉडल उत्तर देखें

PEAP-MSCHAPv2 उपयोगकर्ता के पासवर्ड के NT हैश पर निर्भर करता है, जिसे Google Workspace नेटिव रूप से स्टोर या प्रदर्शित नहीं करता है। अनुशंसित समाधान एक एकीकृत PKI वाले Cloud RADIUS प्रदाता का उपयोग करके EAP-TLS पर माइग्रेट करना है। Cloud RADIUS सेवा SAML/SCIM के माध्यम से Google Workspace से उपयोगकर्ता पहचान को सिंक कर सकती है, और पासवर्ड के बजाय क्लाइंट सर्टिफिकेट का उपयोग करके डिवाइस को प्रमाणित कर सकती है।

Q2. एक शाखा कार्यालय रिपोर्ट करता है कि उपयोगकर्ताओं को WiFi नेटवर्क से कनेक्ट करते समय 30-सेकंड की देरी का सामना करना पड़ रहा है, जिसके बाद कनेक्शन सफल हो जाता है। उस क्षेत्र का प्राथमिक Cloud RADIUS IP वर्तमान में रखरखाव के अधीन है। इस देरी का कारण कौन सी कॉन्फ़िगरेशन त्रुटि है?

संकेत: NAS और RADIUS सर्वर के बीच संचार को देखें।

मॉडल उत्तर देखें

NAS (एक्सेस पॉइंट या स्विच) में RADIUS सर्वर का टाइमआउट बहुत अधिक (जैसे, 30 सेकंड) कॉन्फ़िगर किया गया है। यह सेकेंडरी सर्वर पर जाने से पहले प्राथमिक सर्वर के जवाब देने का इंतजार कर रहा है। उपयोगकर्ता अनुभव को प्रभावित किए बिना तेजी से फेलओवर सुनिश्चित करने के लिए टाइमआउट को घटाकर 3-5 सेकंड किया जाना चाहिए।

Q3. आप एक अस्पताल के लिए Cloud RADIUS तैनात कर रहे हैं। सुरक्षा टीम का निर्देश है कि केवल कॉर्पोरेट-स्वामित्व वाले डिवाइस ही आंतरिक नेटवर्क से कनेक्ट हो सकते हैं, भले ही किसी कर्मचारी को वैध उपयोगकर्ता नाम और पासवर्ड पता हो। आप इसे कैसे लागू करेंगे?

संकेत: कौन सी EAP विधि डिवाइस की पहचान की पुष्टि करती है, न कि केवल उपयोगकर्ता के ज्ञान की?

मॉडल उत्तर देखें

EAP-TLS तैनात करें। अस्पताल के MDM समाधान को केवल नामांकित, कॉर्पोरेट-स्वामित्व वाले उपकरणों पर एक अद्वितीय क्लाइंट सर्टिफिकेट भेजने के लिए कॉन्फ़िगर करें। Cloud RADIUS नीति को किसी भी ऐसे प्रमाणीकरण अनुरोध को अस्वीकार करने के लिए कॉन्फ़िगर करें जो विश्वसनीय आंतरिक PKI द्वारा हस्ताक्षरित वैध सर्टिफिकेट प्रस्तुत नहीं करता है, जिससे पासवर्ड की जानकारी होने के बावजूद BYOD या अनधिकृत उपकरणों को प्रभावी ढंग से ब्लॉक किया जा सके।

इस श्रृंखला में आगे पढ़ें

हाइब्रिड वर्कफोर्स के लिए RADIUS as a Service के सुरक्षा लाभ

यह तकनीकी संदर्भ मार्गदर्शिका बताती है कि कैसे RADIUS as a Service वितरित स्थानों पर हाइब्रिड वर्कफोर्स के लिए नेटवर्क एक्सेस को सुरक्षित करता है। इसमें ऑन-प्रिमाइसेस RADIUS इंफ्रास्ट्रक्चर को क्लाउड-प्रबंधित ऑथेंटिकेशन सेवा से बदलने के लिए आर्किटेक्चर, सुरक्षा लाभ और डिप्लॉयमेंट चरणों को शामिल किया गया है। होटलों, रिटेल चेन, स्टेडियमों और सार्वजनिक क्षेत्र के संगठनों के IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, यह मार्गदर्शिका इस तिमाही में क्लाउड RADIUS माइग्रेशन का मूल्यांकन करने और उस पर कार्रवाई करने के लिए आवश्यक प्रमाण प्रदान करती है।

गाइड पढ़ें →

Cloud Directories (Azure AD और Google Workspace) के साथ RADIUS as a Service को एकीकृत करना

यह तकनीकी संदर्भ मार्गदर्शिका विवरण देती है कि एंटरप्राइज़ WiFi ऑथेंटिकेशन के लिए क्लाउड डायरेक्टरीज़ - Microsoft Entra ID और Google Workspace - के साथ RADIUS as a Service को कैसे एकीकृत किया जाए। यह ऑन-प्रिमाइसेस NPS से क्लाउड-नेटीव RADIUS में आर्किटेक्चरल बदलाव, सर्टिफिकेट-आधारित EAP-TLS ऑथेंटिकेशन के परिनियोजन, और हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्र के परिवेशों में वायरलेस एक्सेस को सुरक्षित करने के लिए परिचालन सर्वोत्तम प्रथाओं को कवर करती है। आईटी प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए जो पहले से ही क्लाउड पहचान में निवेश कर चुके हैं, यह गाइड डायरेक्टरी प्रबंधन और भौतिक नेटवर्क सुरक्षा के बीच की खाई को पाटती है।

गाइड पढ़ें →

Cloud RADIUS के साथ 802.1X Authentication कैसे लागू करें

यह तकनीकी संदर्भ मार्गदर्शिका वितरित एंटरप्राइज़ परिसरों में Cloud RADIUS के साथ 802.1X authentication लागू करने के लिए एक व्यापक ढांचा प्रदान करती है। यह नेटवर्क एक्सेस को सुरक्षित करने के साथ-साथ ऑन-प्रिमाइसेस इंफ्रास्ट्रक्चर के परिचालन ओवरहेड को समाप्त करने के लिए आवश्यक आर्किटेक्चर, EAP विधि चयन, परिनियोजन अनुक्रम और जोखिम शमन रणनीतियों का विवरण देती है।

गाइड पढ़ें →