मुख्य सामग्री पर जाएं
हिन्दी

Okta और RADIUS: अपने आइडेंटिटी प्रोवाइडर को WiFi ऑथेंटिकेशन तक विस्तारित करना

यह गाइड Okta-केंद्रित संगठनों के IT एडमिनिस्ट्रेटर्स के लिए एक व्यापक तकनीकी संदर्भ प्रदान करती है जो Okta RADIUS एजेंट का उपयोग करके अपने क्लाउड आइडेंटिटी प्रोवाइडर को WiFi ऑथेंटिकेशन तक विस्तारित करना चाहते हैं। यह पूर्ण ऑथेंटिकेशन आर्किटेक्चर, MFA एन्फोर्समेंट ट्रेड-ऑफ़, RADIUS एट्रिब्यूट मैपिंग के माध्यम से डायनामिक VLAN असाइनमेंट, और पासवर्ड-आधारित EAP-TTLS व सर्टिफिकेट-आधारित EAP-TLS के बीच महत्वपूर्ण निर्णय को कवर करती है। वेन्यू ऑपरेटरों और एंटरप्राइज़ IT टीमों को कार्रवाई योग्य डिप्लॉयमेंट मार्गदर्शन, हॉस्पिटैलिटी और रिटेल से वास्तविक दुनिया के केस स्टडीज़, और समर्पित गेस्ट WiFi समाधानों के साथ Okta RADIUS को एकीकृत करने के लिए एक स्पष्ट ढांचा मिलेगा।

📖 11 मिनट का पाठ📝 2,672 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 10 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple तकनीकी ब्रीफिंग में आपका स्वागत है। आज हम एक ऐसे विषय पर गोता लगा रहे हैं जो नेटवर्क आर्किटेक्चर और आइडेंटिटी मैनेजमेंट के चौराहे पर बैठता है: WiFi ऑथेंटिकेशन के लिए Okta और RADIUS। यदि आप एक IT मैनेजर, नेटवर्क आर्किटेक्ट, या वेन्यू ऑपरेशंस डायरेक्टर हैं, तो आप पहले से ही नेटवर्क एक्सेस के लिए अलग-अलग क्रेडेंशियल्स प्रबंधित करने के सिरदर्द को जानते हैं। आपके पास क्लाउड एप्लिकेशन्स के लिए अपनी Okta डायरेक्टरी है, लेकिन शायद आपका WiFi अभी भी एक पुराने Active Directory सर्वर पर निर्भर है, या इससे भी बदतर, ब्रेक रूम की दीवार पर पिन किए गए शेयर्ड WPA2 पासवर्ड पर। आज, हम यह देखने जा रहे हैं कि Okta RADIUS एजेंट का उपयोग करके उस अंतर को कैसे पाटा जाए। हम आर्किटेक्चर, WiFi पर मल्टी-फैक्टर ऑथेंटिकेशन को कैसे संभालना है, पासवर्ड-आधारित और सर्टिफिकेट-आधारित ऑथेंटिकेशन के बीच महत्वपूर्ण ट्रेड-ऑफ़, और डायनामिक VLAN असाइनमेंट के लिए Okta ग्रुप्स को RADIUS एट्रिब्यूट्स में कैसे मैप करें, इस पर चर्चा करेंगे। आइए इसमें उतरें। आइए आर्किटेक्चर से शुरू करते हैं। Okta RADIUS एजेंट वास्तव में कैसे काम करता है? Okta RADIUS एजेंट एक लाइटवेट एप्लिकेशन है जिसे आप ऑन-प्रिमाइसेस — आमतौर पर Windows या Linux सर्वर पर — या क्लाउड वर्चुअल मशीन में डिप्लॉय करते हैं। यह एक प्रॉक्सी के रूप में कार्य करता है। यह आपके नेटवर्क इन्फ्रास्ट्रक्चर, जैसे आपके वायरलेस एक्सेस पॉइंट्स या आपके वायरलेस LAN कंट्रोलर, और Okta क्लाउड के बीच बैठता है। जब कोई उपयोगकर्ता आपके 802.1X एंटरप्राइज़ WiFi से कनेक्ट करने का प्रयास करता है, तो उनका डिवाइस एक्सेस पॉइंट पर क्रेडेंशियल्स भेजता है। एक्सेस पॉइंट, 802.1X मॉडल में जिसे हम ऑथेंटिकेटर कहते हैं, के रूप में कार्य करते हुए, UDP पोर्ट 1812 पर Okta RADIUS एजेंट को एक RADIUS Access-Request फॉरवर्ड करता है। एजेंट उस अनुरोध को लेता है और इसे HTTPS API कॉल के माध्यम से Okta क्लाउड पर सुरक्षित रूप से टनल करता है। Okta क्रेडेंशियल्स को मान्य करता है, साइन-ऑन पॉलिसी की जाँच करता है, और एक निर्णय लौटाता है। एजेंट फिर उसे एक्सेस पॉइंट के लिए RADIUS Access-Accept या Access-Reject संदेश में वापस अनुवादित करता है। यह आपकी डायरेक्टरी को सीधे इंटरनेट पर उजागर किए बिना आपके क्लाउड आइडेंटिटी प्रोवाइडर को स्थानीय नेटवर्क एज तक विस्तारित करने का एक चतुर तरीका है। अब, वह बड़ा सवाल जो हर कोई पूछता है: क्या आप WiFi कनेक्शन पर Okta MFA लागू कर सकते हैं? संक्षिप्त उत्तर हाँ है, लेकिन महत्वपूर्ण चेतावनियों के साथ। Okta RADIUS एजेंट मुख्य रूप से पासवर्ड ऑथेंटिकेशन प्रोटोकॉल, या PAP का समर्थन करता है। चूँकि PAP पासवर्ड को क्लियर टेक्स्ट में भेजता है, इसलिए इसे EAP प्रोटोकॉल, जिसका अर्थ एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल है, के बाहरी TLS टनल द्वारा एनकैप्सुलेटेड और सुरक्षित किया जाता है। यह व्यवस्था एजेंट को MFA चुनौतियों को संभालने की अनुमति देती है। आप उपयोगकर्ता के फोन पर Okta Verify नोटिफ़िकेशन पुश करने के लिए Okta को कॉन्फ़िगर कर सकते हैं, या उन्हें अपने पासवर्ड में TOTP कोड — एक टाइम-बेस्ड वन-टाइम पासवर्ड — जोड़ने के लिए कह सकते हैं। हालाँकि, यहीं पर यूज़र एक्सपीरियंस सुरक्षा से टकराता है। कल्पना करें कि एक रिटेल स्टोर सहयोगी को हर बार जब उनका फोन स्टाफ WiFi से फिर से कनेक्ट होता है, तो एक पुश नोटिफ़िकेशन को अप्रूव करने के लिए कहा जाता है, जब वे शॉप फ्लोर पर चलते हैं। यह घर्षण पैदा करता है। इसके अलावा, यदि MFA चुनौती में बहुत अधिक समय लगता है तो कई आधुनिक डिवाइस WiFi कनेक्शन छोड़ देंगे। इसलिए जबकि WiFi पर MFA तकनीकी रूप से संभव है और Okta द्वारा समर्थित है, हम आम तौर पर सामान्य स्टाफ WiFi के बजाय केवल अत्यधिक विशेषाधिकार प्राप्त एक्सेस, जैसे IT एडमिन SSIDs के लिए इसकी अनुशंसा करते हैं। यह हमें महत्वपूर्ण ट्रेड-ऑफ़ पर लाता है: Okta के साथ पासवर्ड-आधारित RADIUS बनाम सर्टिफिकेट-आधारित ऑथेंटिकेशन, विशेष रूप से EAP-TLS। जब आप EAP-TTLS या PAP के साथ Okta RADIUS एजेंट का उपयोग करते हैं, तो आप पासवर्ड पर निर्भर होते हैं। पासवर्ड चोरी हो सकते हैं, फ़िश किए जा सकते हैं, या साझा किए जा सकते हैं। साथ ही, जैसा कि हमने अभी चर्चा की, WiFi में MFA जोड़ना व्यवहार में भद्दा है। दूसरी ओर, EAP-TLS उपयोगकर्ता के डिवाइस पर डिप्लॉय किए गए डिजिटल सर्टिफिकेट का उपयोग करता है। यह म्यूचुअल ऑथेंटिकेशन प्रदान करता है — डिवाइस नेटवर्क को अपनी पहचान साबित करता है, और नेटवर्क डिवाइस को अपनी पहचान साबित करता है। टाइप करने के लिए कोई पासवर्ड नहीं हैं, और यह फ़िशिंग के प्रति अत्यधिक प्रतिरोधी है। पेंच क्या है? Okta RADIUS एजेंट मूल रूप से सर्टिफिकेट अथॉरिटी के रूप में कार्य नहीं करता है। यदि आप EAP-TLS चाहते हैं, तो आपको एक पब्लिक की इन्फ्रास्ट्रक्चर, या PKI — SecureW2, Foxpass, या Microsoft Active Directory Certificate Services जैसे समाधान — और अपने एंडपॉइंट्स पर सर्टिफिकेट वितरित करने के लिए एक मोबाइल डिवाइस मैनेजमेंट समाधान की आवश्यकता है। Okta अभी भी वह आइडेंटिटी प्रोवाइडर हो सकता है जो सर्टिफिकेट जारी करने को अधिकृत करता है, लेकिन RADIUS एजेंट स्वयं EAP-TLS के लिए भारी काम नहीं करेगा। BYOD परिवेशों के लिए, पासवर्ड-आधारित Okta RADIUS तेज़ और डिप्लॉय करने में आसान है। प्रबंधित कॉर्पोरेट उपकरणों के लिए, EAP-TLS स्वर्ण मानक है। आइए सबसे शक्तिशाली विशेषताओं में से एक की ओर बढ़ें: डायनामिक VLAN असाइनमेंट। एक बड़े वेन्यू — एक होटल, एक स्टेडियम, एक सम्मेलन केंद्र — में आप अपने सभी कर्मचारियों को एक ही नेटवर्क सेगमेंट पर नहीं चाहते हैं। आप पॉइंट-ऑफ़-सेल टर्मिनलों को हाउसकीपिंग टैबलेट से अलग करना चाहते हैं, और आप IT कर्मचारियों को प्रबंधन VLAN पर चाहते हैं। आप Okta के साथ इसे कैसे प्राप्त करते हैं? यह सब RADIUS एट्रिब्यूट मैपिंग के बारे में है। Okta Admin Console में, RADIUS एप्लिकेशन सेटिंग्स के अंतर्गत, आप Include groups in RADIUS response नामक सुविधा को सक्षम कर सकते हैं। आप निर्दिष्ट करते हैं कि ऑथेंटिकेशन रिस्पॉन्स में कौन से Okta ग्रुप्स लौटाए जाने चाहिए। Okta इस ग्रुप मेंबरशिप को मानक RADIUS एट्रिब्यूट्स — आमतौर पर Filter-ID के लिए Attribute 11, या Class के लिए Attribute 25 — का उपयोग करके आपके नेटवर्क कंट्रोलर को वापस पास करता है। आपका वायरलेस कंट्रोलर या नेटवर्क एक्सेस कंट्रोल सिस्टम, जैसे Aruba ClearPass या Cisco ISE, यह ग्रुप नाम प्राप्त करता है। फिर आप कंट्रोलर पर एक स्थानीय पॉलिसी कॉन्फ़िगर करते हैं जो कहती है, उदाहरण के लिए, यदि RADIUS Attribute 25 Retail-POS के बराबर है, तो क्लाइंट को VLAN 40 असाइन करें। कंट्रोलर मानक टनल एट्रिब्यूट्स — Tunnel-Type, Tunnel-Medium-Type, और Tunnel-Private-Group-ID — एक्सेस पॉइंट को भेजता है, जो उपयोगकर्ता को गतिशील रूप से सही VLAN में डाल देता है। यह पूरी तरह से Okta आइडेंटिटी के आधार पर नेटवर्क सेगमेंटेशन लागू करने का एक निर्बाध तरीका है, जो PCI DSS जैसे मानकों के अनुपालन के लिए अत्यधिक शक्तिशाली है, जिसके लिए कार्डधारक डेटा परिवेशों के आसपास सख्त नेटवर्क सेगमेंटेशन की आवश्यकता होती है। अब आइए कुछ वास्तविक दुनिया के कार्यान्वयन परिदृश्यों को देखें। यूनाइटेड किंगडम भर में संपत्तियों वाली एक राष्ट्रीय होटल चेन पर विचार करें। प्रत्येक प्रॉपर्टी में फ्रंट डेस्क स्टाफ, हाउसकीपिंग, फूड एंड बेवरेज, और प्रबंधन का मिश्रण है। पहले, प्रत्येक प्रॉपर्टी एक स्थानीय Active Directory के साथ अपना स्वयं का NPS सर्वर चलाती थी। IT टीम ने स्थानीय खातों के प्रबंधन और RADIUS विफलताओं की ट्रबलशूटिंग में काफी समय बिताया। रिडंडेंट क्लाउड वर्चुअल मशीनों की एक जोड़ी में Okta RADIUS एजेंट को डिप्लॉय करके, Okta में सभी उपयोगकर्ता खातों को केंद्रीकृत करके, और ग्रुप-आधारित VLAN असाइनमेंट को कॉन्फ़िगर करके, चेन ने अपने प्रति-प्रॉपर्टी IT ओवरहेड को काफी कम कर दिया। फ्रंट डेस्क स्टाफ अपने Okta क्रेडेंशियल्स के साथ ऑथेंटिकेट करते हैं और स्वचालित रूप से गेस्ट-सर्विसेज VLAN पर रखे जाते हैं। प्रबंधन कर्मचारी, जो एक अलग Okta ग्रुप में हैं, प्रॉपर्टी मैनेजमेंट सिस्टम तक एक्सेस के साथ प्रबंधन VLAN पर आते हैं। संपूर्ण कॉन्फ़िगरेशन को एक ही Okta Admin Console से प्रबंधित किया जाता है, और Okta System Log सभी संपत्तियों में प्रत्येक ऑथेंटिकेशन इवेंट का एक पूर्ण ऑडिट ट्रेल प्रदान करता है। एक दूसरा परिदृश्य: 300 से अधिक स्टोर वाली एक बड़ी रिटेल चेन। प्रत्येक स्टोर में इन्वेंट्री प्रबंधन, पॉइंट-ऑफ़-सेल टर्मिनलों और बैक-ऑफ़िस संचालन के लिए उपयोग किया जाने वाला एक स्टाफ WiFi नेटवर्क है। PCI DSS अनुपालन के लिए कार्डधारक डेटा परिवेश और सामान्य स्टाफ एक्सेस के बीच सख्त नेटवर्क सेगमेंटेशन की आवश्यकता होती है। अपने मौजूदा वायरलेस इन्फ्रास्ट्रक्चर के साथ Okta RADIUS को एकीकृत करके, रिटेलर Okta ग्रुप्स — POS-Staff, Inventory-Staff, और Store-Management — को तीन अलग-अलग VLAN में मैप करता है। जब कोई स्टोर सहयोगी कनेक्ट होता है, तो उनका डिवाइस उनकी Okta ग्रुप मेंबरशिप के आधार पर स्वचालित रूप से सही VLAN में रखा जाता है। यदि कोई कर्मचारी भूमिकाएँ बदलता है, तो उनकी Okta ग्रुप मेंबरशिप को अपडेट करने से उनके अगले कनेक्शन पर उनका नेटवर्क एक्सेस तुरंत बदल जाता है। अपडेट करने के लिए कोई फ़ायरवॉल नियम नहीं, अलग-अलग स्टोरों में पुश करने के लिए कोई VLAN कॉन्फ़िगरेशन नहीं। अब, आइए कार्यान्वयन अनुशंसाओं और सामान्य नुकसानों को कवर करें। पहला और सबसे आम नुकसान टाइमआउट सेटिंग्स को अनदेखा करना है। Okta API कॉल में समय लगता है, खासकर यदि कोई MFA पुश शामिल हो। यदि आपके वायरलेस कंट्रोलर का RADIUS टाइमआउट डिफ़ॉल्ट तीन या पाँच सेकंड पर सेट है, तो उपयोगकर्ता द्वारा अपने फोन पर Approve टैप करने से पहले ही अनुरोध टाइम आउट हो जाएगा। आपको अपने WLC पर RADIUS टाइमआउट को कम से कम तीस से साठ सेकंड तक बढ़ाना होगा। यह नेटवर्क साइड पर एक कॉन्फ़िगरेशन परिवर्तन है, Okta में नहीं, और इसे अक्सर अनदेखा कर दिया जाता है। दूसरी अनुशंसा हाई अवेलेबिलिटी है। कभी भी केवल एक Okta RADIUS एजेंट डिप्लॉय न करें। अलग-अलग सर्वरों पर कम से कम दो एजेंट डिप्लॉय करें और उनके बीच लोड बैलेंस के लिए अपने वायरलेस कंट्रोलर को कॉन्फ़िगर करें। यदि एक सर्वर पैचिंग के लिए डाउन हो जाता है, तो आपका WiFi ऑथेंटिकेशन चालू रहता है। तीसरा नुकसान: PEAP से सावधान रहें। Okta RADIUS एजेंट PEAP-MSCHAPv2 का समर्थन नहीं करता है, जो कई पुराने Windows परिवेशों के लिए डिफ़ॉल्ट है। आपको PAP के साथ EAP-TTLS का उपयोग करने के लिए अपने क्लाइंट्स को कॉन्फ़िगर करना होगा। इसके लिए आमतौर पर Group Policy या MDM के माध्यम से एक वायरलेस प्रोफ़ाइल पुश करने की आवश्यकता होती है, क्योंकि Windows आसानी से EAP-TTLS पर डिफ़ॉल्ट नहीं होता है। ऐसा करने में विफल होना विफल डिप्लॉयमेंट का नंबर एक कारण है। सामान्य क्लाइंट प्रश्नों के आधार पर रैपिड-फायर प्रश्न और उत्तर सत्र का समय। प्रश्न एक: क्या हम गेस्ट WiFi के लिए Okta RADIUS का उपयोग कर सकते हैं? उत्तर: नहीं। Okta की कीमत प्रति उपयोगकर्ता है और इसे वर्कफोर्स आइडेंटिटी के लिए डिज़ाइन किया गया है। गेस्ट WiFi के लिए, आपको एक उद्देश्य-निर्मित Captive Portal समाधान का उपयोग करना चाहिए, जो Okta लाइसेंस का उपभोग किए बिना सेवा की शर्तों, सोशल लॉगिन और एनालिटिक्स को संभालता है। प्रश्न दो: क्या Okta RADIUS WiFi ऑथेंटिकेशन के लिए YubiKeys का समर्थन करता है? उत्तर: आम तौर पर, नहीं। हार्डवेयर टोकन और WebAuthn RADIUS प्रोटोकॉल पर अच्छी तरह से अनुवाद नहीं करते हैं। यदि आपको WiFi पर MFA का उपयोग करना ही है तो Okta Verify पुश या TOTP पर टिके रहें। प्रश्न तीन: यह Purple डिप्लॉयमेंट के साथ कैसे इंटरैक्ट करता है? उत्तर: बहुत अच्छी तरह से। अपने आइडेंटिटी प्रोवाइडर के रूप में Okta का उपयोग करने वाले Purple एंटरप्राइज़ ग्राहक स्टाफ WiFi को सुरक्षित रूप से प्रमाणित करने के लिए Okta RADIUS का उपयोग कर सकते हैं, जबकि एक अलग SSID पर गेस्ट एक्सेस के लिए Purple के Captive Portal का उपयोग कर सकते हैं। यह Purple को एक एकीकृत, आधुनिक ऑथेंटिकेशन स्टैक में Okta के साथ रखता है — Okta RADIUS के साथ एक SSID पर स्टाफ, Purple के ब्रांडेड पोर्टल के साथ दूसरे पर गेस्ट। आज की ब्रीफिंग को संक्षेप में प्रस्तुत करने के लिए: Okta RADIUS एजेंट लीगेसी ऑन-प्रिमाइसेस डायरेक्टरीज़ को खत्म करने और आपके WiFi ऑथेंटिकेशन को आपके क्लाउड आइडेंटिटी प्रोवाइडर में एकीकृत करने के लिए एक शक्तिशाली टूल है। यह मजबूत नेटवर्क सेगमेंटेशन के लिए डायनामिक VLAN असाइनमेंट का समर्थन करता है, जो PCI DSS और अन्य फ्रेमवर्क के अनुपालन के लिए महत्वपूर्ण है। हालाँकि, यदि आप WiFi पर MFA लागू करते हैं तो यूज़र एक्सपीरियंस के प्रति सचेत रहें, और याद रखें कि पूरी तरह से प्रबंधित कॉर्पोरेट उपकरणों के लिए, एक समर्पित PKI के साथ सर्टिफिकेट-आधारित EAP-TLS पर माइग्रेट करना अधिक सुरक्षित दीर्घकालिक रणनीति है। Okta RADIUS एजेंट एक उत्कृष्ट ब्रिज समाधान है, विशेष रूप से उन संगठनों के लिए जो Okta-केंद्रित हैं और उस आइडेंटिटी निवेश को नेटवर्क लेयर तक जल्दी से विस्तारित करना चाहते हैं। इस ब्रीफिंग के लिए बस इतना ही। विस्तृत कॉन्फ़िगरेशन चरणों, आर्किटेक्चर आरेखों और काम किए गए उदाहरणों के लिए पूर्ण तकनीकी संदर्भ गाइड देखना सुनिश्चित करें। अगली बार तक, अपने नेटवर्क को सुरक्षित रखें और अपने उपयोगकर्ताओं को कनेक्टेड रखें।

header_image.png

कार्यकारी सारांश

वितरित स्थानों (होटल चेन से लेकर स्टेडियम तक) का प्रबंधन करने वाली एंटरप्राइज़ IT टीमों के लिए, क्लाउड आइडेंटिटी प्रोवाइडर के साथ नेटवर्क एक्सेस कंट्रोल को एकीकृत करना Zero Trust की दिशा में एक महत्वपूर्ण कदम है। Okta RADIUS एजेंट आधुनिक क्लाउड आइडेंटिटी और पारंपरिक 802.1X WiFi इन्फ्रास्ट्रक्चर के बीच की खाई को पाटता है, जिससे संगठनों को नेटवर्क ऑथेंटिकेशन के लिए पुराने ऑन-प्रिमाइसेस RADIUS सर्वर और Active Directory इन्फ्रास्ट्रक्चर को हटाने की अनुमति मिलती है。

यह गाइड एंटरप्राइज़ WiFi ऑथेंटिकेशन के लिए Okta RADIUS एजेंट को डिप्लॉय करने का विवरण देती है, जिसमें प्रॉक्सी आर्किटेक्चर, MFA एन्फोर्समेंट मैकेनिज्म, और पासवर्ड-आधारित EAP-TTLS व सर्टिफिकेट-आधारित EAP-TLS के बीच के ट्रेड-ऑफ़ शामिल हैं। यह डायनामिक VLAN असाइनमेंट के लिए Okta ग्रुप मेंबरशिप को RADIUS एट्रिब्यूट्स में मैप करने पर कार्रवाई योग्य मार्गदर्शन भी प्रदान करती है — एक ऐसी क्षमता जो सीधे PCI DSS नेटवर्क सेगमेंटेशन आवश्यकताओं का समर्थन करती है। Guest WiFi समाधानों के साथ स्टाफ ऑथेंटिकेशन के लिए Okta को एकीकृत करके, वेन्यू ऑपरेटर आइडेंटिटी इन्फ्रास्ट्रक्चर को डुप्लिकेट किए बिना एक एकीकृत, सुरक्षित और कंप्लायंट एक्सेस लेयर प्राप्त कर सकते हैं।

तकनीकी डीप-डाइव

Okta RADIUS एजेंट कैसे काम करता है

Okta RADIUS एजेंट एक लाइटवेट सिस्टम सर्विस है जो नेटवर्क एक्सेस सर्वर (NAS) — जैसे वायरलेस एक्सेस पॉइंट (WAPs) या वायरलेस LAN कंट्रोलर (WLCs) — और Okta क्लाउड के बीच प्रॉक्सी के रूप में कार्य करती है। इसे आमतौर पर ऑन-प्रिमाइसेस Windows या Linux सर्वर पर या क्लाउड VPC के भीतर डिप्लॉय किया जाता है, और प्रारंभिक इंस्टॉलेशन के बाद इसे पूरी तरह से Okta Admin Console से प्रबंधित किया जाता है।

ऑथेंटिकेशन फ्लो एक मानक 802.1X प्रॉक्सी मॉडल का पालन करता है। उपयोगकर्ता का डिवाइस (सप्लिकेंट) एक एंटरप्राइज़ SSID से कनेक्ट होता है और क्रेडेंशियल्स प्रस्तुत करता है। WAP या WLC (ऑथेंटिकेटर) UDP पोर्ट 1812 पर Okta RADIUS एजेंट को एक RADIUS Access-Request फॉरवर्ड करता है। एजेंट इस अनुरोध को HTTPS API कॉल के माध्यम से Okta क्लाउड पर सुरक्षित रूप से टनल करता है, जहाँ Okta का पॉलिसी इंजन अपनी यूज़र डायरेक्टरी और किसी भी कॉन्फ़िगर की गई साइन-ऑन पॉलिसी के विरुद्ध क्रेडेंशियल्स का मूल्यांकन करता है। यदि ऑथेंटिकेशन सफल होता है, तो एजेंट ऑथेंटिकेटर को एक RADIUS Access-Accept संदेश लौटाता है, जिसमें वैकल्पिक रूप से ऑथराइज़ेशन के लिए RADIUS एट्रिब्यूट्स (जैसे VLAN असाइनमेंट) शामिल होते हैं। यदि MFA आवश्यक है, तो एजेंट क्लाइंट को वापस एक RADIUS Access-Challenge भेजता है, जो अंतिम निर्णय लौटाए जाने से पहले दूसरे फैक्टर के लिए संकेत देता है।

architecture_overview.png

इस प्रॉक्सी मॉडल का अर्थ है कि Okta RADIUS एजेंट को स्थानीय रूप से यूज़र क्रेडेंशियल्स स्टोर करने की आवश्यकता नहीं है। सभी ऑथेंटिकेशन लॉजिक, पॉलिसी मूल्यांकन, और ऑडिट लॉगिंग Okta क्लाउड में होती है, जो एडमिनिस्ट्रेटर्स को क्लाउड एप्लिकेशन और नेटवर्क एक्सेस दोनों में आइडेंटिटी गवर्नेंस के लिए एक सिंगल पेन ऑफ़ ग्लास प्रदान करता है।

समर्थित EAP प्रोटोकॉल और महत्वपूर्ण सीमाएँ

Okta RADIUS एजेंट की एक मूलभूत आर्किटेक्चरल बाधा प्राथमिक ऑथेंटिकेशन के लिए पासवर्ड ऑथेंटिकेशन प्रोटोकॉल (PAP) पर इसकी निर्भरता है। हालाँकि PAP आंतरिक लेयर पर प्लेनटेक्स्ट में पासवर्ड ट्रांसमिट करता है, लेकिन यह एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) के बाहरी TLS टनल द्वारा एनकैप्सुलेटेड और सुरक्षित होता है। समर्थित बाहरी प्रोटोकॉल EAP-TTLS (आंतरिक विधि के रूप में PAP के साथ) और EAP-GTC हैं। EAP विधियों की गहरी तुलना के लिए, Comparativa de métodos EAP: PEAP, EAP-TLS, EAP-TTLS y EAP-FAST संदर्भ गाइड देखें।

महत्वपूर्ण रूप से, PEAP-MSCHAPv2 समर्थित नहीं है। यह Windows क्लाइंट्स और कई पुराने एंटरप्राइज़ परिवेशों के लिए डिफ़ॉल्ट 802.1X प्रोटोकॉल है। पारंपरिक NPS/Active Directory RADIUS सेटअप से माइग्रेट करने वाले संगठनों को PAP के साथ EAP-TTLS का उपयोग करने के लिए अपने क्लाइंट सप्लिकेंट्स को फिर से कॉन्फ़िगर करना होगा — एक ऐसा बदलाव जिसके लिए आमतौर पर MDM या Group Policy के माध्यम से पुश किए गए वायरलेस प्रोफ़ाइल की आवश्यकता होती है। इसे ध्यान में न रखना विफल Okta RADIUS डिप्लॉयमेंट का सबसे आम कारण है。

EAP-TLS, जो पूरी तरह से म्यूचुअल सर्टिफिकेट-आधारित ऑथेंटिकेशन पर निर्भर करता है, वह भी Okta RADIUS एजेंट द्वारा मूल रूप से समर्थित नहीं है। जिन संगठनों को EAP-TLS की आवश्यकता है, उन्हें सीधे Okta RADIUS एजेंट का उपयोग करने के बजाय एक समर्पित PKI या क्लाउड RADIUS समाधान डिप्लॉय करना होगा जो SAML या OIDC के माध्यम से IdP के रूप में Okta के साथ एकीकृत होता है।

WiFi कनेक्शन पर MFA लागू करना

Okta RADIUS एजेंट WiFi एक्सेस के लिए MFA का समर्थन करता है, लेकिन यह यूज़र एक्सपीरियंस से जुड़ी चुनौतियाँ पेश करता है जिन पर डिप्लॉयमेंट से पहले सावधानीपूर्वक विचार किया जाना चाहिए। जब कोई MFA पॉलिसी ट्रिगर होती है, तो एजेंट क्लाइंट को एक RADIUS Access-Challenge भेजता है। Okta RADIUS एप्लिकेशन्स के लिए कई फैक्टर्स का समर्थन करता है:

MFA फैक्टर PAP EAP-TTLS नोट्स
Okta Verify Push समर्थित समर्थित आउट-ऑफ़-बैंड भेजा गया; उपयोगकर्ता मोबाइल पर Approve टैप करता है
TOTP (Okta Verify / Google Auth) समर्थित समर्थित उपयोगकर्ता पासवर्ड में OTP जोड़ता है (उदा., Pass123,456789)
SMS / Email / Voice समर्थित समर्थित उपयोगकर्ता पहले ट्रिगर स्ट्रिंग (SMS, EMAIL, CALL) भेजता है
Duo Push / SMS / Passcode समर्थित समर्थित केवल EAP-TTLS के लिए Duo पासकोड
YubiKey / U2F / Windows Hello समर्थित नहीं समर्थित नहीं हार्डवेयर टोकन RADIUS प्रोटोकॉल के साथ असंगत हैं

व्यावहारिक बाधा रोमिंग है। Hospitality परिवेशों में, एक हाउसकीपर का टैबलेट प्रति शिफ्ट दर्जनों बार एक्सेस पॉइंट्स के बीच रोम कर सकता है, जिससे हर बार री-ऑथेंटिकेशन ट्रिगर होता है। हर रोम पर पुश नोटिफ़िकेशन अप्रूवल की आवश्यकता होना परिचालन रूप से अस्थिर है। सामान्य स्टाफ WiFi के लिए, सक्रिय MFA प्रॉम्प्ट्स के बजाय Okta के डिवाइस ट्रस्ट और नेटवर्क ज़ोन पॉलिसी के साथ संयुक्त मजबूत पासवर्ड पॉलिसी को आमतौर पर प्राथमिकता दी जाती है। WiFi पर MFA को एडमिनिस्ट्रेटिव SSIDs या उच्च-विशेषाधिकार एक्सेस परिदृश्यों के लिए आरक्षित किया जाना चाहिए।

पासवर्ड-आधारित बनाम सर्टिफिकेट-आधारित ऑथेंटिकेशन

पासवर्ड-आधारित RADIUS (Okta RADIUS एजेंट के माध्यम से) और सर्टिफिकेट-आधारित EAP-TLS के बीच का चुनाव एंटरप्राइज़ WiFi डिप्लॉयमेंट में सबसे महत्वपूर्ण निर्णयों में से एक है। ट्रेड-ऑफ़ केवल सुरक्षा के बारे में नहीं हैं; इनमें डिप्लॉयमेंट की जटिलता, डिवाइस प्रबंधन परिपक्वता, और परिचालन ओवरहेड शामिल हैं।

comparison_chart.png

Okta RADIUS एजेंट के माध्यम से पासवर्ड-आधारित ऑथेंटिकेशन एकीकृत आइडेंटिटी के लिए एक तेज़ मार्ग प्रदान करता है। यदि आपका संगठन पहले से ही Okta में उपयोगकर्ताओं का प्रबंधन करता है, तो डिप्लॉयमेंट हफ्तों के बजाय घंटों में पूरा किया जा सकता है। इसमें बनाने के लिए कोई PKI नहीं है, वितरित करने के लिए कोई सर्टिफिकेट नहीं है, और कोई MDM निर्भरता नहीं है। ट्रेड-ऑफ़ यह है कि पासवर्ड प्राथमिक क्रेडेंशियल बने रहते हैं, और म्यूचुअल ऑथेंटिकेशन की अनुपस्थिति का अर्थ है कि क्लाइंट क्रिप्टोग्राफ़िक रूप से नेटवर्क की पहचान को सत्यापित नहीं कर सकता है — जो उच्च-जोखिम वाले परिवेशों में ईविल ट्विन हमलों के लिए एक वेक्टर है।

सर्टिफिकेट-आधारित EAP-TLS पूरी तरह से WiFi ऑथेंटिकेशन समीकरण से पासवर्ड को समाप्त कर देता है। क्लाइंट एक डिवाइस सर्टिफिकेट प्रस्तुत करता है, और RADIUS सर्वर एक सर्वर सर्टिफिकेट प्रस्तुत करता है, जो म्यूचुअल ऑथेंटिकेशन प्रदान करता है। WPA3-Enterprise नेटवर्क पर IEEE 802.1X के लिए यह अनुशंसित दृष्टिकोण है, विशेष रूप से PCI DSS या NCSC Cyber Essentials Plus के अधीन परिवेशों में। इसकी पूर्व शर्त एक कार्यशील PKI — या तो ऑन-प्रिमाइसेस Microsoft ADCS डिप्लॉयमेंट या क्लाउड PKI सर्विस — और सभी प्रबंधित एंडपॉइंट्स पर सर्टिफिकेट वितरित करने में सक्षम एक MDM प्लेटफ़ॉर्म है। सैकड़ों प्रबंधित पॉइंट-ऑफ़-सेल डिवाइस वाले Retail परिवेशों के लिए, यह निवेश पूरी तरह से उचित है। BYOD-भारी परिवेशों या तेज़ डिप्लॉयमेंट के लिए, EAP-TTLS के साथ Okta RADIUS एक व्यावहारिक विकल्प है।

डायनामिक VLAN असाइनमेंट के लिए RADIUS एट्रिब्यूट मैपिंग

डायनामिक VLAN असाइनमेंट वह जगह है जहाँ Okta RADIUS एकीकरण अपना सबसे ठोस परिचालन मूल्य प्रदान करता है। Okta ग्रुप मेंबरशिप को RADIUS एट्रिब्यूट्स में मैप करके, नेटवर्क एडमिनिस्ट्रेटर प्रति डिवाइस या प्रति स्थान अलग-अलग VLAN पॉलिसी बनाए रखे बिना रोल-आधारित नेटवर्क सेगमेंटेशन लागू कर सकते हैं।

Okta RADIUS Access-Accept संदेश में ग्रुप मेंबरशिप डेटा को तीन एट्रिब्यूट्स में से किसी एक का उपयोग करके पास करता है, जिसे Okta एप्लिकेशन की Advanced RADIUS Settings में कॉन्फ़िगर किया जा सकता है:

  • Attribute 11 (Filter-Id): ग्रुप नाम वाला एक स्ट्रिंग एट्रिब्यूट। वेंडर्स के बीच व्यापक रूप से समर्थित।
  • Attribute 25 (Class): ऑथराइज़ेशन के लिए उपयोग किया जाने वाला एक अपारदर्शी एट्रिब्यूट। Cisco ISE, Aruba ClearPass, और Fortinet द्वारा समर्थित।
  • Attribute 26 (Vendor-Specific): अधिक ग्रैन्युलर कंट्रोल के लिए वेंडर-विशिष्ट सब-एट्रिब्यूट्स की अनुमति देता है।

नेटवर्क कंट्रोलर (WLC, NAC एप्लायंस) चुने गए एट्रिब्यूट में Okta ग्रुप नाम प्राप्त करता है और इसे VLAN असाइनमेंट के लिए आवश्यक मानक RADIUS टनल एट्रिब्यूट्स में मैप करता है:

RADIUS एट्रिब्यूट वैल्यू उद्देश्य
64 (Tunnel-Type) 13 (VLAN) VLAN टनलिंग निर्दिष्ट करता है
65 (Tunnel-Medium-Type) 6 (802) IEEE 802 माध्यम निर्दिष्ट करता है
81 (Tunnel-Private-Group-ID) उदा., 40 लक्ष्य VLAN ID

उदाहरण के लिए, Okta ग्रुप Retail-POS-Staff के किसी उपयोगकर्ता को Access-Accept में Class: Retail-POS-Staff लौटाया जाएगा। WLC पॉलिसी इसे Tunnel-Private-Group-ID: 40 पर मैप करेगी, जिससे डिवाइस VLAN 40 — आइसोलेटेड POS नेटवर्क पर आ जाएगा। Store-Management के किसी उपयोगकर्ता को VLAN 50 पर रखा जाएगा। यह लॉजिक नेटवर्क एज पर लागू किया जाता है, Okta में नहीं, लेकिन यह पूरी तरह से Okta ग्रुप मेंबरशिप द्वारा संचालित होता है।

इम्प्लीमेंटेशन गाइड

चरण 1: Okta RADIUS एजेंट डिप्लॉय करें (हाई अवेलेबिलिटी)

हाई अवेलेबिलिटी सुनिश्चित करने के लिए कम से कम दो सर्वरों — या तो ऑन-प्रिमाइसेस या क्लाउड VPC में — Okta RADIUS एजेंट डिप्लॉय करें। सिंगल-एजेंट डिप्लॉयमेंट एक गंभीर जोखिम है: यदि सर्वर पैचिंग के लिए अनुपलब्ध है या विफल हो जाता है, तो पूरे एस्टेट में सभी 802.1X WiFi ऑथेंटिकेशन विफल हो जाएंगे। दोनों एजेंटों के बीच RADIUS अनुरोधों को लोड बैलेंस करने के लिए अपने WLC या NAC एप्लायंस को कॉन्फ़िगर करें।

इंस्टॉलेशन के दौरान, एजेंट को ऑथराइज़ करने और इसे Okta टेनेंट से लिंक करने के लिए एजेंट Okta एडमिनिस्ट्रेटर लॉगिन के लिए संकेत देगा। ऑथराइज़ होने के बाद, एजेंट Okta Admin Console में Settings > Downloads > RADIUS Agent Status के अंतर्गत दिखाई देता है, जहाँ हेल्थ और कनेक्टिविटी की निगरानी की जा सकती है।

चरण 2: Okta में RADIUS एप्लिकेशन कॉन्फ़िगर करें

  1. Okta Admin Console में, Applications > Applications पर नेविगेट करें और ऐप कैटलॉग में RADIUS Application खोजें।
  2. एप्लिकेशन जोड़ें, इसे एक वर्णनात्मक नाम (उदा., Corporate-WiFi-Staff) असाइन करें, और Next पर क्लिक करें।
  3. Sign On टैब के अंतर्गत, RADIUS Port (डिफ़ॉल्ट 1812) कॉन्फ़िगर करें और कम से कम 32 वर्णों का एक मजबूत, रैंडमली जनरेटेड Shared Secret जनरेट करें。
  4. Advanced RADIUS Settings के अंतर्गत, यदि आप पासवर्ड में जोड़े गए TOTP का समर्थन करना चाहते हैं, तो Accept password and security token in the same login request सक्षम करें।
  5. निर्बाध पुश-आधारित MFA के लिए वैकल्पिक रूप से Permit Automatic Push for Okta Verify Enrolled Users सक्षम करें।
  6. अपने स्टाफ का प्रतिनिधित्व करने वाले प्रासंगिक Okta ग्रुप्स को एप्लिकेशन असाइन करें।

चरण 3: ग्रुप-आधारित VLAN असाइनमेंट कॉन्फ़िगर करें

  1. RADIUS एप्लिकेशन की Sign On सेटिंग्स में, Advanced RADIUS Settings अनुभाग में Edit पर क्लिक करें।
  2. Include groups in RADIUS response चेक करें।
  3. RADIUS एट्रिब्यूट चुनें: Aruba और Cisco परिवेशों के लिए 25 Class अनुशंसित है; Fortinet और अन्य के लिए 11 Filter-Id
  4. शामिल करने के लिए विशिष्ट Okta ग्रुप नाम जोड़ें (उदा., Retail-POS-Staff, Store-Management, IT-Admins)।
  5. अपने WLC या NAC एप्लायंस पर, एन्फोर्समेंट पॉलिसी बनाएँ जो प्रत्येक ग्रुप नाम को संबंधित VLAN टनल एट्रिब्यूट्स में मैप करती हैं।

चरण 4: क्लाइंट सप्लिकेंट्स कॉन्फ़िगर करें

चूँकि PEAP-MSCHAPv2 समर्थित नहीं है, इसलिए क्लाइंट डिवाइस को आंतरिक विधि के रूप में PAP के साथ EAP-TTLS का उपयोग करने के लिए कॉन्फ़िगर किया जाना चाहिए। अपने MDM प्लेटफ़ॉर्म (उदा., Microsoft Intune, Jamf Pro) के माध्यम से या Windows डोमेन-जॉइन्ड डिवाइस के लिए Group Policy Objects (GPO) के माध्यम से एक वायरलेस नेटवर्क प्रोफ़ाइल डिप्लॉय करें। प्रोफ़ाइल को निर्दिष्ट करना चाहिए:

  • SSID: आपका एंटरप्राइज़ SSID नाम
  • Security: WPA2-Enterprise या WPA3-Enterprise
  • EAP Method: EAP-TTLS
  • Inner Authentication: PAP
  • Server Certificate Validation: सक्षम (अपने RADIUS एजेंट के सर्वर सर्टिफिकेट CN पर पिन करें)

चरण 5: RADIUS टाइमआउट सेट करें

अपने WLC पर RADIUS टाइमआउट को डिफ़ॉल्ट 3-5 सेकंड से बढ़ाकर 30-60 सेकंड करें। यदि MFA पुश नोटिफ़िकेशन उपयोग में हैं तो यह महत्वपूर्ण है, क्योंकि WLC द्वारा ऑथेंटिकेशन प्रयास को छोड़ने से पहले उपयोगकर्ता के पास अपने डिवाइस पर नोटिफ़िकेशन को अप्रूव करने के लिए पर्याप्त समय होना चाहिए।

सर्वोत्तम प्रथाएँ

WiFi ऑथेंटिकेशन के लिए Okta RADIUS को डिप्लॉय करना सीधा है, लेकिन कई परिचालन सर्वोत्तम प्रथाएँ एक लचीले प्रोडक्शन डिप्लॉयमेंट को एक कमज़ोर प्रूफ़-ऑफ़-कांसेप्ट से अलग करती हैं।

SSID स्तर पर गेस्ट और स्टाफ ट्रैफ़िक को सेगमेंट करें। Okta RADIUS एक वर्कफोर्स आइडेंटिटी टूल है। विज़िटर और गेस्ट एक्सेस के लिए, एक समर्पित Captive Portal समाधान डिप्लॉय करें। यह Okta लाइसेंस लागत को गेस्ट वॉल्यूम के साथ बढ़ने से रोकता है और चिंताओं का स्पष्ट पृथक्करण सुनिश्चित करता है। Purple एंटरप्राइज़ ग्राहक एक अलग SSID पर Guest WiFi डिप्लॉय कर सकते हैं, जबकि उसी भौतिक इन्फ्रास्ट्रक्चर पर स्टाफ ऑथेंटिकेशन के लिए Okta RADIUS का उपयोग कर सकते हैं।

जटिल पॉलिसी परिवेशों के लिए NAC एप्लायंस का उपयोग करें। यदि आपके परिवेश को यूज़र आइडेंटिटी के साथ-साथ डिवाइस पोस्चर, MAC एड्रेस फ़िल्टरिंग, या सर्टिफिकेट स्थिति के आधार पर कंडीशनल एक्सेस की आवश्यकता है, तो Okta RADIUS एजेंट को अनुरोध प्रॉक्सी करने के लिए एक मध्यवर्ती NAC एप्लायंस (Aruba ClearPass, Cisco ISE, या Portnox) डिप्लॉय करें। NAC एप्लायंस अतिरिक्त टनल एट्रिब्यूट्स के साथ RADIUS रिस्पॉन्स को समृद्ध कर सकता है जो अकेले Okta एजेंट जनरेट नहीं कर सकता।

Okta System Log के माध्यम से मॉनिटर करें। प्रत्येक ऑथेंटिकेशन इवेंट — सफलता, विफलता, MFA चैलेंज, और फैक्टर प्रकार — Okta System Log में रिकॉर्ड किया जाता है। ऑथेंटिकेशन विसंगतियों पर रीयल-टाइम अलर्टिंग के लिए अपने SIEM में लॉग स्ट्रीमिंग कॉन्फ़िगर करें। यह ऑडिट आवश्यकताओं के अधीन Healthcare और सार्वजनिक-क्षेत्र के संगठनों के लिए विशेष रूप से मूल्यवान है।

एक शेड्यूल पर शेयर्ड सीक्रेट्स को रोटेट करें। Okta RADIUS एप्लिकेशन और आपके NAS के बीच शेयर्ड सीक्रेट एक महत्वपूर्ण सुरक्षा क्रेडेंशियल है। एक रोटेशन शेड्यूल लागू करें (त्रैमासिक अनुशंसित है) और Okta एप्लिकेशन और WLC/NAC कॉन्फ़िगरेशन दोनों को एक साथ अपडेट करें।

RADIUS सर्विस एड्रेस को प्रतिबंधित करें। Okta RADIUS एजेंट कॉन्फ़िगरेशन में, प्रतिबंधित करें कि किन IP एड्रेस को RADIUS अनुरोध भेजने की अनुमति है। यह अनधिकृत NAS डिवाइस को आपके Okta टेनेंट के विरुद्ध ऑथेंटिकेशन का प्रयास करने से रोकता है।

व्यापक नेटवर्क आर्किटेक्चर संदर्भ पर मार्गदर्शन के लिए, The Core SD WAN Benefits for Modern Businesses और Wireless Access Points Definition Your Ultimate 2026 Guide देखें।

ट्रबलशूटिंग और जोखिम न्यूनीकरण

निम्नलिखित तालिका Okta RADIUS WiFi डिप्लॉयमेंट में सामने आने वाले सबसे आम विफलता मोड और उनके अनुशंसित न्यूनीकरण का सारांश देती है।

विफलता मोड मूल कारण न्यूनीकरण
ऑथेंटिकेशन टाइमआउट Okta API या MFA रिस्पॉन्स के लिए WLC RADIUS टाइमआउट बहुत छोटा है WLC RADIUS टाइमआउट को 30-60 सेकंड तक बढ़ाएँ
Windows क्लाइंट्स अस्वीकृत Windows PEAP-MSCHAPv2 पर डिफ़ॉल्ट होता है, जिसे Okta RADIUS अस्वीकार करता है MDM या GPO के माध्यम से EAP-TTLS/PAP वायरलेस प्रोफ़ाइल पुश करें
गलत VLAN में उपयोगकर्ता Okta ग्रुप नाम बेमेल या WLC पर टनल एट्रिब्यूट्स गायब सत्यापित करें कि WLC Class/Filter-Id को Tunnel-Private-Group-ID पर मैप करता है; Okta System Log की जाँच करें
एजेंट अगम्य (Unreachable) सर्वर ऑफ़लाइन, API टोकन समाप्त, या फ़ायरवॉल Okta के लिए HTTPS को ब्लॉक कर रहा है रिडंडेंट एजेंट डिप्लॉय करें; Okta Admin Console में एजेंट स्थिति की निगरानी करें; आउटबाउंड HTTPS सत्यापित करें
MFA पुश डिलीवर नहीं हुआ उपयोगकर्ता Okta Verify में नामांकित नहीं है, या मोबाइल डिवाइस ऑफ़लाइन है Okta Verify नामांकन पॉलिसी लागू करें; फ़ॉलबैक के रूप में TOTP पर विचार करें
सर्टिफिकेट वैलिडेशन त्रुटियाँ क्लाइंट RADIUS सर्वर सर्टिफिकेट को मान्य नहीं कर सकता क्लाइंट वायरलेस प्रोफ़ाइल में सर्वर सर्टिफिकेट CN पिन करें; सुनिश्चित करें कि CA चेन विश्वसनीय है
VLAN एट्रिब्यूट्स नहीं भेजे गए Okta ग्रुप RADIUS रिस्पॉन्स कॉन्फ़िगरेशन में शामिल नहीं है सत्यापित करें कि ग्रुप Advanced RADIUS Settings में सूचीबद्ध है; पुष्टि करें कि उपयोगकर्ता Okta में ग्रुप का सदस्य है

Transport और सार्वजनिक-क्षेत्र के परिवेशों के लिए जहाँ नेटवर्क अपटाइम मिशन-क्रिटिकल है, सिंथेटिक मॉनिटरिंग लागू करें जो समय-समय पर RADIUS ऑथेंटिकेशन का एंड-टू-एंड परीक्षण करती है और उपयोगकर्ताओं के प्रभावित होने से पहले विफलता पर अलर्ट करती है।

ROI और व्यावसायिक प्रभाव

Okta RADIUS WiFi ऑथेंटिकेशन के लिए व्यावसायिक मामला तीन स्तंभों पर टिका है: परिचालन दक्षता, सुरक्षा स्थिति में सुधार, और अनुपालन तत्परता।

परिचालन दक्षता। WiFi ऑथेंटिकेशन को Okta में समेकित करने से प्रत्येक वेन्यू या साइट पर अलग ऑन-प्रिमाइसेस RADIUS इन्फ्रास्ट्रक्चर (NPS सर्वर, स्थानीय AD) बनाए रखने की आवश्यकता समाप्त हो जाती है। 50 संपत्तियों वाली एक होटल चेन के लिए, यह प्रति-साइट इन्फ्रास्ट्रक्चर लागत और IT सपोर्ट ओवरहेड में महत्वपूर्ण कमी का प्रतिनिधित्व कर सकता है। यूज़र प्रोविज़निंग और डीप्रोविज़निंग एटॉमिक बन जाते हैं: किसी उपयोगकर्ता को सही Okta ग्रुप में जोड़ने से एप्लिकेशन एक्सेस और उपयुक्त WiFi VLAN एक्सेस दोनों एक साथ मिल जाते हैं। जब कोई कर्मचारी छोड़ता है, तो उनके Okta खाते को निष्क्रिय करने से सभी साइटों पर WiFi एक्सेस तुरंत रद्द हो जाता है।

सुरक्षा स्थिति। शेयर्ड PSK WiFi पासवर्ड को प्रति-उपयोगकर्ता 802.1X ऑथेंटिकेशन से बदलने से क्रेडेंशियल शेयरिंग समाप्त हो जाती है, जो इनसाइडर खतरे और अनधिकृत एक्सेस के लिए एक सामान्य वेक्टर है। डायनामिक VLAN असाइनमेंट के साथ मिलकर, यह नेटवर्क लेयर पर न्यूनतम विशेषाधिकार के सिद्धांत को लागू करता है। Okta System Log प्रत्येक WiFi ऑथेंटिकेशन इवेंट का एक पूर्ण, टैम्पर-एविडेंट ऑडिट ट्रेल प्रदान करता है, जो इंसिडेंट रिस्पॉन्स के लिए आवश्यक है。

अनुपालन तत्परता। PCI DSS 4.0 आवश्यकता 8.3 सभी गैर-कंसोल एडमिनिस्ट्रेटिव एक्सेस के लिए MFA अनिवार्य करती है। आवश्यकता 1.3 कार्डधारक डेटा परिवेश और अन्य नेटवर्क के बीच नेटवर्क सेगमेंटेशन की मांग करती है। ग्रुप-आधारित VLAN असाइनमेंट के साथ Okta RADIUS सीधे दोनों आवश्यकताओं को संबोधित करता है। GDPR अनुपालन के लिए, Okta System Log व्यक्तिगत डेटा प्रोसेसिंग सिस्टम पर उचित तकनीकी नियंत्रण प्रदर्शित करने के लिए आवश्यक एक्सेस रिकॉर्ड प्रदान करता है। Modern Hospitality WiFi Solutions डिप्लॉय करने वाले वेन्यू के लिए, आइडेंटिटी और नेटवर्क एक्सेस के लिए यह एकीकृत दृष्टिकोण एंटरप्राइज़ खरीद के लिए तेजी से एक पूर्व शर्त बनता जा रहा है।

जिन संगठनों ने यह एकीकरण पूरा कर लिया है, वे आमतौर पर WiFi से संबंधित IT सपोर्ट टिकटों में कमी (कम पासवर्ड रीसेट अनुरोध, कम VLAN मिसकॉन्फ़िगरेशन घटनाएँ) और सुरक्षा ऑडिट स्कोर में मापने योग्य सुधार की रिपोर्ट करते हैं। Okta RADIUS एजेंट को डिप्लॉय और कॉन्फ़िगर करने में निवेश — जिसे आमतौर पर सिंगल-साइट डिप्लॉयमेंट के लिए हफ्तों के बजाय दिनों में मापा जाता है — निरंतर परिचालन बचत प्रदान करता है जो एक वितरित एस्टेट में कंपाउंड होती है।

मुख्य परिभाषाएं

Okta RADIUS Agent

एक लाइटवेट ऑन-प्रिमाइसेस या क्लाउड-होस्टेड प्रॉक्सी सर्विस जो नेटवर्क इन्फ्रास्ट्रक्चर (एक्सेस पॉइंट, WLCs) से RADIUS ऑथेंटिकेशन अनुरोधों को Okta API कॉल में अनुवादित करती है, जिससे Okta क्लाउड 802.1X WiFi के लिए ऑथेंटिकेशन बैकएंड के रूप में काम कर सकता है।

IT टीमें Okta द्वारा समर्थित एंटरप्राइज़ WiFi ऑथेंटिकेशन डिप्लॉय करते समय इसका सामना करती हैं। यह लीगेसी RADIUS-आधारित नेटवर्क इन्फ्रास्ट्रक्चर और आधुनिक क्लाउड आइडेंटिटी के बीच महत्वपूर्ण ब्रिज घटक है।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (NAC) के लिए एक IEEE मानक जो वायर्ड और वायरलेस नेटवर्क के लिए एक ऑथेंटिकेशन फ्रेमवर्क परिभाषित करता है। यह सप्लिकेंट (डिवाइस), ऑथेंटिकेटर (AP/स्विच), और ऑथेंटिकेशन सर्वर (RADIUS) के बीच ऑथेंटिकेशन क्रेडेंशियल्स ले जाने के लिए एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) का उपयोग करता है।

802.1X एंटरप्राइज़ WiFi सुरक्षा की नींव है। WPA2-Enterprise या WPA3-Enterprise का उपयोग करने वाला कोई भी डिप्लॉयमेंट 802.1X का उपयोग कर रहा है। कनेक्टिविटी समस्याओं को ट्रबलशूट करने के लिए IT टीमों को तीन-पक्षीय मॉडल (सप्लिकेंट, ऑथेंटिकेटर, ऑथेंटिकेशन सर्वर) को समझना चाहिए।

EAP-TTLS (Extensible Authentication Protocol - Tunnelled Transport Layer Security)

एक EAP विधि जो केवल सर्वर-साइड सर्टिफिकेट का उपयोग करके एक TLS टनल स्थापित करती है, फिर टनल के अंदर एक सरल आंतरिक ऑथेंटिकेशन प्रोटोकॉल (जैसे PAP) ले जाती है। यह आंतरिक क्रेडेंशियल्स को छिपकर सुनने (eavesdropping) से बचाता है जबकि केवल सर्वर-साइड सर्टिफिकेट इन्फ्रास्ट्रक्चर की आवश्यकता होती है।

PAP के साथ EAP-TTLS Okta RADIUS WiFi ऑथेंटिकेशन के लिए अनुशंसित प्रोटोकॉल है। यह बेयर PAP की तुलना में अधिक सुरक्षित है लेकिन इसके लिए क्लाइंट-साइड सर्टिफिकेट की आवश्यकता नहीं होती है, जो इसे BYOD और मिश्रित-डिवाइस परिवेशों के लिए व्यावहारिक बनाता है।

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

एक EAP विधि जो म्यूचुअल सर्टिफिकेट-आधारित ऑथेंटिकेशन का उपयोग करती है — क्लाइंट और सर्वर दोनों डिजिटल सर्टिफिकेट प्रस्तुत करते हैं। यह सबसे सुरक्षित 802.1X विधि है, जो फ़िशिंग-प्रतिरोधी, पासवर्ड-मुक्त ऑथेंटिकेशन प्रदान करती है।

प्रबंधित कॉर्पोरेट डिवाइस परिवेशों के लिए EAP-TLS स्वर्ण मानक है। इसके लिए सर्टिफिकेट वितरण के लिए PKI इन्फ्रास्ट्रक्चर और MDM की आवश्यकता होती है। Okta RADIUS एजेंट मूल रूप से EAP-TLS का समर्थन नहीं करता है; एक समर्पित क्लाउड PKI या RADIUS सर्विस की आवश्यकता होती है।

PAP (Password Authentication Protocol)

एक सरल ऑथेंटिकेशन प्रोटोकॉल जो यूज़रनेम और पासवर्ड को प्लेनटेक्स्ट में ट्रांसमिट करता है। 802.1X के संदर्भ में, PAP का उपयोग EAP-TTLS टनल के अंदर आंतरिक ऑथेंटिकेशन विधि के रूप में किया जाता है, जहाँ बाहरी TLS लेयर एन्क्रिप्शन प्रदान करती है।

PAP Okta RADIUS एजेंट द्वारा समर्थित प्राथमिक ऑथेंटिकेशन तंत्र है। IT टीमों को यह समझना चाहिए कि अकेले PAP असुरक्षित है, लेकिन EAP-TTLS के अंदर PAP एंटरप्राइज़ WiFi के लिए स्वीकार्य है जब सर्वर सर्टिफिकेट ठीक से मान्य हो।

Dynamic VLAN Assignment

एक नेटवर्क एक्सेस कंट्रोल तकनीक जहाँ एक RADIUS सर्वर Access-Accept संदेश में VLAN असाइनमेंट एट्रिब्यूट्स लौटाता है, जिससे वायरलेस कंट्रोलर या स्विच प्रमाणित क्लाइंट को एक स्थिर प्रति-SSID VLAN के बजाय उनकी पहचान या ग्रुप मेंबरशिप के आधार पर एक विशिष्ट VLAN पर रखता है।

मल्टी-रोल परिवेशों (उदा., POS टर्मिनलों को सामान्य स्टाफ उपकरणों से अलग करना) में नेटवर्क सेगमेंटेशन के लिए डायनामिक VLAN असाइनमेंट आवश्यक है। इसे Access-Accept संदेश में RADIUS एट्रिब्यूट्स 64, 65, और 81 लौटाकर कॉन्फ़िगर किया जाता है।

RADIUS Attribute 25 (Class)

ऑथेंटिकेशन सर्वर से NAS तक मनमाना ऑथराइज़ेशन डेटा पास करने के लिए उपयोग किया जाने वाला एक मानक RADIUS एट्रिब्यूट। Okta इस एट्रिब्यूट का उपयोग Okta ग्रुप मेंबरशिप जानकारी को वायरलेस कंट्रोलर को लौटाने के लिए करता है, जो तब इसका उपयोग VLAN असाइनमेंट या एक्सेस पॉलिसी निर्णयों के लिए कर सकता है।

Okta ग्रुप-आधारित VLAN असाइनमेंट कॉन्फ़िगर करने वाली IT टीमें Class एट्रिब्यूट वैल्यू को पढ़ने और इसे VLAN ID में मैप करने के लिए WLC को कॉन्फ़िगर करेंगी। उपयोग करने के लिए सटीक एट्रिब्यूट (11, 25, या 26) WLC वेंडर के दस्तावेज़ों पर निर्भर करता है।

NAS (Network Access Server)

RADIUS शब्दावली में, NAS वह नेटवर्क डिवाइस है जो उपयोगकर्ता का कनेक्शन अनुरोध प्राप्त करता है और इसे ऑथेंटिकेशन के लिए RADIUS सर्वर को फॉरवर्ड करता है। WiFi डिप्लॉयमेंट में, NAS आमतौर पर वायरलेस एक्सेस पॉइंट या वायरलेस LAN कंट्रोलर होता है।

NAS 802.1X मॉडल में ऑथेंटिकेटर है। IT टीमों को RADIUS सर्वर IP एड्रेस, पोर्ट और शेयर्ड सीक्रेट के साथ NAS को कॉन्फ़िगर करना होगा। NAS IP एड्रेस को Okta RADIUS एजेंट के सर्विस एड्रेस फ़िल्टरिंग कॉन्फ़िगरेशन में व्हाइटलिस्ट किया जाना चाहिए।

Shared Secret

NAS (WLC/AP) और RADIUS सर्वर (Okta RADIUS एजेंट) के बीच RADIUS संदेशों को प्रमाणित करने के लिए उपयोग किया जाने वाला एक प्री-शेयर्ड पासवर्ड। इसका उपयोग Message-Authenticator हैश की गणना करने के लिए किया जाता है जो RADIUS पैकेट की अखंडता को सत्यापित करता है।

शेयर्ड सीक्रेट Okta RADIUS एप्लिकेशन कॉन्फ़िगरेशन और WLC/NAC RADIUS सर्वर एंट्री दोनों पर समान होना चाहिए। यह कम से कम 32 वर्णों का होना चाहिए, रैंडमली जनरेटेड होना चाहिए, और नियमित शेड्यूल पर रोटेट किया जाना चाहिए। बेमेल होना RADIUS ऑथेंटिकेशन विफलताओं का एक सामान्य कारण है।

MFA Challenge (RADIUS Access-Challenge)

अतिरिक्त ऑथेंटिकेशन फैक्टर्स की आवश्यकता होने पर ऑथेंटिकेशन सर्वर द्वारा NAS को भेजा गया एक RADIUS संदेश प्रकार। NAS क्लाइंट को चैलेंज रिले करता है, जिसे ऑथेंटिकेशन पूरा होने से पहले उपयुक्त फैक्टर (उदा., OTP, पुश अप्रूवल) के साथ रिस्पॉन्स देना होगा।

Access-Challenge तंत्र वह तरीका है जिससे Okta RADIUS पर MFA लागू करता है। IT टीमों को यह सुनिश्चित करना चाहिए कि WLC चैलेंज-रिस्पॉन्स एक्सचेंज का समर्थन करता है और RADIUS टाइमआउट उपयोगकर्ता के लिए MFA चरण पूरा करने के लिए पर्याप्त लंबा है।

हल किए गए उदाहरण

एक 150-प्रॉपर्टी वाली होटल चेन वर्तमान में 802.1X स्टाफ WiFi ऑथेंटिकेशन के लिए प्रत्येक प्रॉपर्टी पर ऑन-प्रिमाइसेस NPS सर्वर का उपयोग करती है। प्रत्येक NPS सर्वर एक स्थानीय Active Directory डोमेन से जुड़ा है। IT टीम Okta में आइडेंटिटी मैनेजमेंट को केंद्रीकृत करना चाहती है और प्रति-प्रॉपर्टी NPS इन्फ्रास्ट्रक्चर को खत्म करना चाहती है। उन्हें माइग्रेशन के लिए कैसे दृष्टिकोण अपनाना चाहिए?

अनुशंसित दृष्टिकोण प्रत्येक प्रॉपर्टी के बजाय एक केंद्रीकृत क्लाउड VPC में डिप्लॉय किए गए Okta RADIUS एजेंट का उपयोग करके चरणबद्ध माइग्रेशन है। चरण 1: अधिकांश संपत्तियों के समान क्षेत्र में क्लाउड VPC (उदा., AWS या Azure) में दो Okta RADIUS एजेंट इंस्टेंस डिप्लॉय करें। UDP 1812 पर सुनने के लिए एजेंटों को कॉन्फ़िगर करें। चरण 2: प्रत्येक प्रॉपर्टी के लिए, मौजूदा NPS को प्राथमिक रखते हुए, WLC पर द्वितीयक RADIUS सर्वर के रूप में Okta RADIUS एजेंट IP जोड़ें। यह लाइव ऑथेंटिकेशन को बाधित किए बिना समानांतर संचालन और परीक्षण की अनुमति देता है। चरण 3: उपयोगकर्ताओं को स्थानीय AD से Okta में माइग्रेट करें। शुरू में मौजूदा खातों को सिंक करने के लिए Okta के AD एजेंट का उपयोग करें, फिर आधिकारिक स्रोत के रूप में उत्तरोत्तर Okta पर जाएँ। चरण 4: प्रत्येक प्रॉपर्टी के लिए, EAP-TTLS/PAP का उपयोग करने के लिए WLC को कॉन्फ़िगर करें और MDM के माध्यम से स्टाफ डिवाइस पर नया वायरलेस प्रोफ़ाइल पुश करें। चरण 5: एक बार जब सभी डिवाइस EAP-TTLS पर कन्फर्म हो जाते हैं, तो WLC RADIUS प्राथमिकता को प्राथमिक के रूप में Okta एजेंटों पर स्विच करें और NPS सर्वरों को डिकमीशन करें। Okta ग्रुप्स (Front-Desk, Housekeeping, F&B, Management, IT-Admins) कॉन्फ़िगर करें और Attribute 25 (Class) का उपयोग करके ग्रुप-आधारित VLAN असाइनमेंट सक्षम करें। WLC पर उपयुक्त VLAN में प्रत्येक ग्रुप को मैप करें। Okta API लेटेंसी को समायोजित करने के लिए WLC RADIUS टाइमआउट को 45 सेकंड तक बढ़ाएँ।

परीक्षक की टिप्पणी: इस चरणबद्ध दृष्टिकोण को प्राथमिकता दी जाती है क्योंकि यह एक साथ 150 संपत्तियों में हार्ड कटओवर के जोखिम को समाप्त करता है। संक्रमण अवधि के दौरान NPS और Okta RADIUS को समानांतर में चलाने का अर्थ है कि किसी भी मिसकॉन्फ़िगरेशन को लाइव उपयोगकर्ताओं को प्रभावित किए बिना पकड़ा और ठीक किया जा सकता है। RADIUS एजेंटों का क्लाउड VPC डिप्लॉयमेंट प्रति-प्रॉपर्टी डिप्लॉयमेंट से आर्किटेक्चरल रूप से बेहतर है क्योंकि यह प्रबंधन को केंद्रीकृत करता है, इन्फ्रास्ट्रक्चर फ़ुटप्रिंट को कम करता है, और लगातार पॉलिसी एन्फोर्समेंट सुनिश्चित करता है, भले ही उपयोगकर्ता किसी भी प्रॉपर्टी से ऑथेंटिकेट करे। कम करने के लिए मुख्य जोखिम प्रॉपर्टी और क्लाउड VPC के बीच WAN लेटेंसी है — एक अच्छे यूज़र एक्सपीरियंस के लिए RADIUS ऑथेंटिकेशन 2 सेकंड से कम समय में पूरा होना चाहिए, इसलिए VPC क्षेत्र का चयन राउंड-ट्रिप समय को कम से कम करने वाला होना चाहिए।

320 स्टोर वाली एक राष्ट्रीय रिटेल चेन को अपने स्टाफ WiFi के लिए PCI DSS 4.0 अनुपालन प्राप्त करने की आवश्यकता है। स्टोर सहयोगी इन्वेंट्री प्रबंधन के लिए हैंडहेल्ड डिवाइस का उपयोग करते हैं, और उपकरणों का एक अलग सेट पॉइंट-ऑफ़-सेल लेनदेन को संभालता है। चेन सभी वर्कफोर्स आइडेंटिटी के लिए Okta का उपयोग करती है। वे PCI DSS नेटवर्क सेगमेंटेशन आवश्यकताओं को पूरा करने के लिए Okta RADIUS का उपयोग करके VLAN सेगमेंटेशन कैसे लागू करते हैं?

तीन Okta ग्रुप बनाएँ: POS-Staff (उन कर्मचारियों के लिए जो POS टर्मिनल संचालित करते हैं), Inventory-Staff (वेयरहाउस और शॉप फ्लोर सहयोगियों के लिए), और Store-Management। Okta RADIUS एप्लिकेशन में, 'Include groups in RADIUS response' सक्षम करें और Attribute 25 (Class) चुनें। रिस्पॉन्स कॉन्फ़िगरेशन में तीनों ग्रुप जोड़ें। प्रत्येक स्टोर पर वायरलेस कंट्रोलर पर (या क्लाउड WLC के माध्यम से केंद्रीय रूप से), तीन एन्फोर्समेंट पॉलिसी बनाएँ: (1) यदि Class = POS-Staff, तो Tunnel-Private-Group-ID = 40 असाइन करें (POS VLAN, जो PCI DSS के दायरे में है और इसमें फ़ायरवॉल नियम हैं जो केवल पेमेंट प्रोसेसर तक एक्सेस को प्रतिबंधित करते हैं)। (2) यदि Class = Inventory-Staff, तो Tunnel-Private-Group-ID = 50 असाइन करें (इन्वेंट्री VLAN, PCI दायरे से बाहर)। (3) यदि Class = Store-Management, तो Tunnel-Private-Group-ID = 60 असाइन करें (स्टोर प्रबंधन सिस्टम तक एक्सेस के साथ प्रबंधन VLAN)। POS-Staff ग्रुप में किसी उपयोगकर्ता के क्रेडेंशियल्स के साथ कनेक्ट होने वाले डिवाइस स्वचालित रूप से VLAN 40 पर रखे जाते हैं। यदि किसी स्टोर सहयोगी की भूमिका बदलती है, तो उनकी Okta ग्रुप मेंबरशिप को अपडेट करने से अगले कनेक्शन पर उनका VLAN असाइनमेंट तुरंत बदल जाता है — किसी WLC रीकॉन्फ़िगरेशन की आवश्यकता नहीं है। PCI DSS QSA ऑडिट के लिए नेटवर्क सेगमेंटेशन आरेख में Okta ग्रुप-टू-VLAN मैपिंग का दस्तावेजीकरण करें।

परीक्षक की टिप्पणी: यह कार्यान्वयन सीधे PCI DSS 4.0 आवश्यकता 1.3 (नेटवर्क सेगमेंटेशन) और आवश्यकता 7 (व्यावसायिक आवश्यकता के आधार पर एक्सेस कंट्रोल) को संतुष्ट करता है। महत्वपूर्ण अंतर्दृष्टि यह है कि VLAN असाइनमेंट आइडेंटिटी द्वारा संचालित होता है, न कि डिवाइस MAC एड्रेस या स्टैटिक VLAN कॉन्फ़िगरेशन द्वारा — जिसका अर्थ है कि यह प्रति-स्टोर VLAN पॉलिसी रखरखाव के बिना 320 स्टोरों में स्केल करता है। QSA यह प्रमाण देखना चाहेगा कि POS VLAN वास्तव में अन्य नेटवर्क सेगमेंट से अलग है, इसलिए WLC और फ़ायरवॉल कॉन्फ़िगरेशन को VLAN सीमाओं को दर्शाना चाहिए। Okta का System Log PCI DSS आवश्यकता 10 (लॉगिंग और मॉनिटरिंग) द्वारा आवश्यक ऑथेंटिकेशन ऑडिट ट्रेल प्रदान करता है। एक महत्वपूर्ण चेतावनी: यदि POS डिवाइस अप्रबंधित या साझा किए गए हैं (अर्थात, किसी विशिष्ट उपयोगकर्ता को असाइन नहीं किए गए हैं), तो उन उपकरणों के लिए 802.1X के बजाय MAC Authentication Bypass (MAB) का उपयोग करने पर विचार करें, जिसमें Okta RADIUS का उपयोग केवल उपयोगकर्ता-प्रमाणित उपकरणों के लिए किया जाता है।

अभ्यास प्रश्न

Q1. एक मध्यम आकार का सम्मेलन केंद्र सभी स्टाफ आइडेंटिटी मैनेजमेंट के लिए Okta का उपयोग करता है। वे अपने मौजूदा Cisco Meraki एक्सेस पॉइंट्स का उपयोग करके स्टाफ के लिए 802.1X WiFi डिप्लॉय करना चाहते हैं। उनके Windows लैपटॉप Microsoft Intune के माध्यम से प्रबंधित किए जाते हैं। IT मैनेजर सभी WiFi कनेक्शन के लिए Okta Verify पुश MFA लागू करना चाहता है। वे तीन सबसे महत्वपूर्ण कॉन्फ़िगरेशन चरण कौन से हैं जिन्हें उन्हें पूरा करना होगा, और यदि वे उनमें से किसी को छोड़ देते हैं तो सबसे संभावित विफलता मोड क्या है?

संकेत: Okta RADIUS और Windows डिफ़ॉल्ट के बीच EAP प्रोटोकॉल संगतता, RADIUS टाइमआउट सेटिंग, और क्लाइंट वायरलेस प्रोफ़ाइल कॉन्फ़िगरेशन पर विचार करें।

मॉडल उत्तर देखें

तीन महत्वपूर्ण चरण हैं: (1) Intune के माध्यम से एक वायरलेस प्रोफ़ाइल डिप्लॉय करें जो Windows क्लाइंट्स को आंतरिक विधि के रूप में PAP के साथ EAP-TTLS का उपयोग करने के लिए कॉन्फ़िगर करता है — Windows PEAP-MSCHAPv2 पर डिफ़ॉल्ट होता है, जिसका Okta RADIUS एजेंट समर्थन नहीं करता है, जिससे सभी ऑथेंटिकेशन प्रयास अस्वीकार कर दिए जाते हैं। (2) Cisco Meraki RADIUS टाइमआउट को डिफ़ॉल्ट 5 सेकंड से बढ़ाकर कम से कम 45-60 सेकंड करें — इसके बिना, उपयोगकर्ता द्वारा Okta Verify पुश नोटिफ़िकेशन को अप्रूव करने से पहले ऑथेंटिकेशन अनुरोध टाइम आउट हो जाएगा। (3) Okta RADIUS एप्लिकेशन की Advanced RADIUS Settings में 'Permit Automatic Push for Okta Verify Enrolled Users' सक्षम करें — इसके बिना, उपयोगकर्ताओं को स्वचालित पुश प्राप्त करने के बजाय मैन्युअल रूप से अपना MFA फैक्टर चुनने के लिए प्रेरित किया जा सकता है। यदि चरण 1 छोड़ दिया जाता है तो सबसे संभावित विफलता मोड सभी Windows उपकरणों के लिए पूर्ण ऑथेंटिकेशन विफलता है। यदि चरण 2 छोड़ दिया जाता है, तो उन उपयोगकर्ताओं के लिए ऑथेंटिकेशन रुक-रुक कर विफल हो जाएगा जो पुश को अप्रूव करने में 5 सेकंड से अधिक समय लेते हैं। यदि चरण 3 छोड़ दिया जाता है, तो उपयोगकर्ताओं को निर्बाध पुश नोटिफ़िकेशन के बजाय एक भ्रमित करने वाले चैलेंज प्रॉम्प्ट का अनुभव होगा।

Q2. एक बड़ी रिटेल चेन की सुरक्षा टीम ने फ़्लैग किया है कि उनका वर्तमान Okta RADIUS WiFi डिप्लॉयमेंट एक सिंगल RADIUS एजेंट सर्वर का उपयोग करता है। हाल ही की पैचिंग विंडो के दौरान, सर्वर 45 मिनट के लिए ऑफ़लाइन था, जिससे सभी 80 स्टोरों में WiFi ऑथेंटिकेशन विफल हो गया। इसे रोकने के लिए IT टीम को कौन से आर्किटेक्चरल बदलाव लागू करने चाहिए, और एजेंटों के लिए दो डिप्लॉयमेंट विकल्प क्या हैं?

संकेत: रिडंडेंसी का समर्थन करने के लिए आवश्यक एजेंट डिप्लॉयमेंट टोपोलॉजी और WLC कॉन्फ़िगरेशन दोनों पर विचार करें।

मॉडल उत्तर देखें

IT टीम को कम से कम दो Okta RADIUS एजेंट इंस्टेंस डिप्लॉय करने चाहिए और दोनों एजेंटों का उपयोग करने के लिए प्रत्येक स्टोर पर WLC को कॉन्फ़िगर करना चाहिए। दो डिप्लॉयमेंट विकल्प हैं: विकल्प A (केंद्रीकृत क्लाउड VMs) — दोनों एजेंटों को क्लाउड VPC (उदा., AWS या Azure) में डिप्लॉय करें, आदर्श रूप से विभिन्न अवेलेबिलिटी ज़ोन में। प्रत्येक स्टोर पर WLC दोनों क्लाउड IP को इंगित करता है, जिसमें एक प्राथमिक और एक द्वितीयक (या लोड बैलेंसिंग सक्षम के साथ) के रूप में होता है। यह प्रति-साइट इन्फ्रास्ट्रक्चर को कम करता है लेकिन WAN निर्भरता पेश करता है। विकल्प B (ऑन-प्रिमाइसेस रिडंडेंट पेयर) — RADIUS फेलओवर का उपयोग करके WLC के साथ एक केंद्रीय डेटा सेंटर या को-लोकेशन सुविधा में दो एजेंट सर्वर डिप्लॉय करें। WLC पर, प्राथमिक RADIUS सर्वर को एजेंट 1 और द्वितीयक को एजेंट 2 के रूप में कॉन्फ़िगर करें, जिसमें 3-5 सेकंड का फेलओवर टाइमआउट हो। यदि WLC वेंडर द्वारा समर्थित हो तो 'Dead Server Detection' सक्षम करें। इसके अतिरिक्त, IT टीम को Okta Admin Console में हेल्थ मॉनिटरिंग कॉन्फ़िगर करनी चाहिए और यदि कोई एजेंट ऑफ़लाइन हो जाता है तो अलर्टिंग सेट अप करनी चाहिए। स्थानीय सर्वर वाले स्टोरों के लिए, एक स्थानीय एजेंट WAN आउटेज के खिलाफ लचीलेपन के लिए तृतीयक फ़ॉलबैक के रूप में काम कर सकता है।

Q3. एक एंटरप्राइज़ संगठन मूल्यांकन कर रहा है कि क्या EAP-TTLS/PAP के साथ Okta RADIUS एजेंट का उपयोग किया जाए या अपने कॉर्पोरेट WiFi के लिए EAP-TLS के लिए क्लाउड PKI समाधान में निवेश किया जाए। उनके पास Microsoft Intune में नामांकित 2,000 प्रबंधित Windows और macOS डिवाइस हैं, और वे PCI DSS 4.0 के अधीन हैं। अनुशंसित दृष्टिकोण क्या है और प्राथमिक सुरक्षा औचित्य क्या है?

संकेत: PCI DSS आवश्यकताओं, डिवाइस प्रबंधन परिपक्वता (सभी डिवाइस MDM-नामांकित हैं), और प्रत्येक ऑथेंटिकेशन विधि के सुरक्षा गुणों पर विचार करें।

मॉडल उत्तर देखें

अनुशंसित दृष्टिकोण क्लाउड PKI समाधान के साथ EAP-TLS में निवेश करना है। प्राथमिक सुरक्षा औचित्य म्यूचुअल ऑथेंटिकेशन है: EAP-TLS के लिए क्लाइंट और RADIUS सर्वर दोनों को डिजिटल सर्टिफिकेट प्रस्तुत करने की आवश्यकता होती है, जिसका अर्थ है कि डिवाइस क्रिप्टोग्राफ़िक रूप से नेटवर्क को अपनी पहचान साबित करता है और नेटवर्क डिवाइस को अपनी पहचान साबित करता है। यह ईविल ट्विन हमलों (जहाँ एक दुष्ट AP कॉर्पोरेट SSID का प्रतिरूपण करता है) के जोखिम को समाप्त करता है और WiFi ऑथेंटिकेशन समीकरण से पासवर्ड को पूरी तरह से हटा देता है, जिससे क्रेडेंशियल चोरी और फ़िशिंग को हमले के वैक्टर के रूप में समाप्त कर दिया जाता है। PCI DSS 4.0 के लिए, EAP-TLS सर्टिफिकेट-आधारित ऑथेंटिकेशन के माध्यम से आवश्यकता 8.3 (गैर-कंसोल एडमिन एक्सेस के लिए MFA) को स्पष्ट रूप से संतुष्ट करता है, और यह WPA3-Enterprise 192-बिट मोड (मजबूत क्रिप्टोग्राफी के लिए आवश्यकता 4.2.1) का समर्थन करता है। पूर्व शर्त — Intune में नामांकित सभी 2,000 डिवाइस — पहले ही पूरी हो चुकी है, जिससे Intune SCEP प्रोफ़ाइल के माध्यम से सर्टिफिकेट वितरण सीधा हो जाता है। EAP-TTLS/PAP के साथ Okta RADIUS एजेंट PKI बिल्ड-आउट के दौरान एक स्वीकार्य अंतरिम समाधान होगा, लेकिन PCI DSS दायरे और पूरी तरह से प्रबंधित डिवाइस एस्टेट को देखते हुए, EAP-TLS सही दीर्घकालिक आर्किटेक्चर है। क्लाउड PKI सर्विस (आमतौर पर $3-8 प्रति डिवाइस प्रति वर्ष) में अतिरिक्त निवेश सुरक्षा उत्थान और कम क्रेडेंशियल प्रबंधन ओवरहेड द्वारा उचित है।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Huawei AirEngine और CloudCampus एकीकरण

यह गाइड Huawei AirEngine एक्सेस पॉइंट्स और iMaster NCE-Campus को Purple WiFi के साथ एकीकृत करने के लिए चरण-दर-चरण निर्देश प्रदान करती है। इसमें एंटरप्राइज नेटवर्क के लिए कैप्टिव पोर्टल कॉन्फ़िगरेशन, 802.1X स्टाफ प्रमाणीकरण और PPSK डायनेमिक VLAN स्टीयरिंग शामिल है।

गाइड पढ़ें →

Purple WiFi के साथ EnGenius Cloud Access Points का एकीकरण

यह तकनीकी संदर्भ EnGenius Cloud Access Points और ECS स्विचों के Purple के गेस्ट WiFi प्लेटफॉर्म के साथ चरण-दर-चरण एकीकरण का विवरण देता है। इसमें बाहरी स्प्लैश पेज के माध्यम से गेस्ट कैप्टिव पोर्टल रीडायरेक्शन, Walled Garden कॉन्फ़िगरेशन, IEEE 802.1X का उपयोग करके सुरक्षित स्टाफ WiFi, और गतिशील VLAN असाइनमेंट के साथ EnGenius MyPSK का उपयोग करके मल्टी-टेनेंट नेटवर्क अलगाव शामिल है। IT इंस्टॉलरों और नेटवर्क आर्किटेक्ट्स को EnGenius हार्डवेयर संपत्तियों में Purple को तैनात करने के लिए व्यावहारिक कॉन्फ़िगरेशन अनुक्रम, वास्तविक दुनिया के केस स्टडीज और एक समस्या निवारण ढांचा मिलेगा।

गाइड पढ़ें →

Purple WiFi के साथ DrayTek Vigor राउटर्स और एक्सेस पॉइंट्स का एकीकरण

यह गाइड DrayTek Vigor राउटर्स और VigorAP एक्सेस पॉइंट्स को Purple के क्लाउड प्लेटफॉर्म के साथ एकीकृत करने के लिए चरण-दर-चरण तकनीकी निर्देश प्रदान करती है। इसमें Guest WiFi के लिए DrayTek कैप्टिव पोर्टल कॉन्फ़िगरेशन, सुरक्षित Staff WiFi के लिए 802.1X प्रमाणीकरण, Walled Garden सेटअप, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट नेटवर्क सेगमेंटेशन के लिए DrayTek Multiple PSK (PPSK) कॉन्फ़िगरेशन शामिल है। इसे हॉस्पिटैलिटी, रिटेल और मल्टी-टेनेंट स्थानों पर Purple को तैनात करने वाले IT इंस्टॉलरों और SMB नेटवर्क प्रशासकों के लिए डिज़ाइन किया गया है।

गाइड पढ़ें →