मुख्य सामग्री पर जाएं
हिन्दी

Okta और RADIUS: अपने पहचान प्रदाता को WiFi प्रमाणीकरण तक विस्तारित करना

यह मार्गदर्शिका Okta-केंद्रित संगठनों के IT प्रशासकों के लिए एक व्यापक तकनीकी संदर्भ प्रदान करती है जो Okta RADIUS एजेंट का उपयोग करके अपने क्लाउड पहचान प्रदाता को WiFi प्रमाणीकरण तक विस्तारित करना चाहते हैं। यह पूर्ण प्रमाणीकरण आर्किटेक्चर, MFA प्रवर्तन समझौतों, RADIUS विशेषता मैपिंग के माध्यम से डायनेमिक VLAN असाइनमेंट, और पासवर्ड-आधारित EAP-TTLS और प्रमाणपत्र-आधारित EAP-TLS के बीच महत्वपूर्ण निर्णय को कवर करता है। स्थान संचालकों और उद्यम IT टीमों को व्यावहारिक तैनाती मार्गदर्शन, आतिथ्य और खुदरा क्षेत्र से वास्तविक दुनिया के केस अध्ययन, और समर्पित अतिथि WiFi समाधानों के साथ Okta RADIUS को एकीकृत करने के लिए एक स्पष्ट ढांचा मिलेगा।

📖 11 मिनट का पाठ📝 2,672 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 10 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple Technical Briefing में आपका स्वागत है। आज हम एक ऐसे विषय पर चर्चा कर रहे हैं जो नेटवर्क आर्किटेक्चर और पहचान प्रबंधन के ठीक चौराहे पर स्थित है: WiFi प्रमाणीकरण के लिए Okta और RADIUS। यदि आप एक IT प्रबंधक, एक नेटवर्क आर्किटेक्ट, या एक स्थान संचालन निदेशक हैं, तो आप पहले से ही नेटवर्क एक्सेस के लिए अलग क्रेडेंशियल प्रबंधित करने के सिरदर्द को जानते हैं। आपके पास क्लाउड अनुप्रयोगों के लिए अपनी Okta निर्देशिका है, लेकिन शायद आपका WiFi अभी भी एक पुराने Active Directory सर्वर पर निर्भर है, या इससे भी बदतर, ब्रेक रूम की दीवार पर पिन किया गया एक साझा WPA2 पासवर्ड है। आज, हम यह देखने जा रहे हैं कि Okta RADIUS एजेंट का उपयोग करके उस अंतर को कैसे पाटा जाए। हम आर्किटेक्चर, WiFi पर Multi-Factor Authentication को कैसे संभालें, पासवर्ड-आधारित और प्रमाणपत्र-आधारित प्रमाणीकरण के बीच महत्वपूर्ण समझौते, और डायनेमिक VLAN असाइनमेंट के लिए Okta समूहों को RADIUS विशेषताओं से कैसे मैप करें, इस पर चर्चा करेंगे। आइए शुरू करते हैं। आइए आर्किटेक्चर से शुरू करते हैं। Okta RADIUS एजेंट वास्तव में कैसे काम करता है? Okta RADIUS एजेंट एक हल्का एप्लिकेशन है जिसे आप ऑन-प्रिमाइसेस — आमतौर पर Windows या Linux सर्वर पर — या क्लाउड वर्चुअल मशीन में तैनात करते हैं। यह एक प्रॉक्सी के रूप में कार्य करता है। यह आपके नेटवर्क बुनियादी ढांचे, जैसे कि आपके वायरलेस एक्सेस पॉइंट या आपके वायरलेस LAN कंट्रोलर, और Okta क्लाउड के बीच बैठता है। जब कोई उपयोगकर्ता आपके 802.1X उद्यम WiFi से जुड़ने का प्रयास करता है, तो उनका डिवाइस एक्सेस पॉइंट पर क्रेडेंशियल भेजता है। एक्सेस पॉइंट, जिसे हम 802.1X मॉडल में प्रमाणीकर्ता कहते हैं, UDP पोर्ट 1812 पर Okta RADIUS एजेंट को एक RADIUS Access-Request अग्रेषित करता है। एजेंट उस अनुरोध को लेता है और एक HTTPS API कॉल के माध्यम से इसे Okta क्लाउड पर सुरक्षित रूप से टनल करता है। Okta क्रेडेंशियल को मान्य करता है, साइन-ऑन नीतियों की जांच करता है, और एक निर्णय लौटाता है। एजेंट फिर एक्सेस पॉइंट के लिए इसे वापस RADIUS Access-Accept या Access-Reject संदेश में अनुवादित करता है। यह आपकी निर्देशिका को सीधे इंटरनेट पर उजागर किए बिना आपके क्लाउड पहचान प्रदाता को स्थानीय नेटवर्क किनारे तक विस्तारित करने का एक चतुर तरीका है। अब, बड़ा सवाल जो हर कोई पूछता है: क्या आप WiFi कनेक्शन पर Okta MFA लागू कर सकते हैं? संक्षिप्त उत्तर हाँ है, लेकिन महत्वपूर्ण चेतावनियों के साथ। Okta RADIUS एजेंट मुख्य रूप से पासवर्ड ऑथेंटिकेशन प्रोटोकॉल, या PAP का समर्थन करता है। चूंकि PAP पासवर्ड को स्पष्ट रूप से भेजता है, इसलिए यह EAP प्रोटोकॉल (Extensible Authentication Protocol) के बाहरी TLS टनल द्वारा एनकैप्सुलेटेड और सुरक्षित होता है। यह व्यवस्था एजेंट को MFA चुनौतियों को संभालने की अनुमति देती है। आप उपयोगकर्ता के फोन पर Okta Verify नोटिफिकेशन भेजने के लिए Okta को कॉन्फ़िगर कर सकते हैं, या उनसे उनके पासवर्ड में एक TOTप कोड — एक समय-आधारित वन-टाइम पासवर्ड — जोड़ने के लिए कह सकते हैं। हालांकि, यह वह जगह है जहां उपयोगकर्ता अनुभव सुरक्षा से टकराता है। कल्पना कीजिए कि एक खुदरा स्टोर सहयोगी से हर बार पुश नोटिफिकेशन को स्वीकृत करने के लिए कहा जाए जब उनका फोन दुकान के फर्श पर चलते समय कर्मचारियों के WiFi से फिर से जुड़ता है। यह घर्षण पैदा करता है। इसके अलावा, यदि MFA चुनौती में बहुत अधिक समय लगता है तो कई आधुनिक डिवाइस WiFi कनेक्शन को छोड़ देंगे। इसलिए जबकि WiFi पर MFA तकनीकी रूप से संभव है और Okta द्वारा समर्थित है, हम आम तौर पर इसे सामान्य कर्मचारियों के WiFi के बजाय केवल अत्यधिक विशेषाधिकार प्राप्त पहुंच, जैसे कि IT एडमिन SSIDs के लिए अनुशंसित करते हैं। यह हमें महत्वपूर्ण समझौते पर लाता है: Okta के साथ पासवर्ड-आधारित RADIUS बनाम प्रमाणपत्र-आधारित प्रमाणीकरण, विशेष रूप से EAP-TLS। जब आप EAP-TTLS या PAP के साथ Okta RADIUS एजेंट का उपयोग करते हैं, तो आप पासवर्ड पर भरोसा कर रहे होते हैं। पासवर्ड चोरी हो सकते हैं, फ़िशिंग हो सकते हैं, या साझा किए जा सकते हैं। इसके अलावा, जैसा कि हमने अभी चर्चा की, WiFi में MFA जोड़ना व्यावहारिक रूप से बोझिल है। दूसरी ओर, EAP-TLS उपयोगकर्ता के डिवाइस पर तैनात डिजिटल प्रमाणपत्रों का उपयोग करता है। यह पारस्परिक प्रमाणीकरण प्रदान करता है — डिवाइस नेटवर्क के लिए अपनी पहचान साबित करता है, और नेटवर्क डिवाइस के लिए अपनी पहचान साबित करता है। इसमें टाइप करने के लिए कोई पासवर्ड नहीं है, और यह फ़िशिंग के लिए अत्यधिक प्रतिरोधी है। पेच क्या है? Okta RADIUS एजेंट मूल रूप से प्रमाणपत्र प्राधिकरण के रूप में कार्य नहीं करता है। यदि आप EAP-TLS चाहते हैं, तो आपको एक पब्लिक की इन्फ्रास्ट्रक्चर (PKI) — जैसे SecureW2, Foxpass, या Microsoft Active Directory Certificate Services जैसे समाधान — और अपने एंडपॉइंट्स पर प्रमाणपत्र वितरित करने के लिए एक मोबाइल डिवाइस प्रबंधन (MDM) समाधान की आवश्यकता होगी। Okta अभी भी पहचान प्रदाता हो सकता है जो प्रमाणपत्र जारी करने को अधिकृत करता है, लेकिन RADIUS एजेंट स्वयं EAP-TLS के लिए भारी काम नहीं करेगा। BYOD वातावरण के लिए, पासवर्ड-आधारित Okta RADIUS तैनात करना तेज़ और आसान है। प्रबंधित कॉर्पोरेट उपकरणों के लिए, EAP-TLS स्वर्ण मानक है। आइए सबसे शक्तिशाली विशेषताओं में से एक पर चलते हैं: डायनेमिक VLAN असाइनमेंट। एक बड़े स्थान — एक होटल, एक स्टेडियम, एक सम्मेलन केंद्र — में आप नहीं चाहते कि आपके सभी कर्मचारी एक ही नेटवर्क सेगमेंट पर हों। आप चाहते हैं कि पॉइंट-ऑफ-सेल टर्मिनल हाउसकीपिंग टैबलेट से अलग हों, और आप IT कर्मचारियों को एक प्रबंधन VLAN पर चाहते हैं। आप इसे Okta के साथ कैसे प्राप्त करते हैं? यह सब RADIUS विशेषता मैपिंग के बारे में है। Okta एडमिन कंसोल में, RADIUS एप्लिकेशन सेटिंग्स के अंतर्गत, आप 'Include groups in RADIUS response' नामक एक सुविधा को सक्षम कर सकते हैं। आप निर्दिष्ट करते हैं कि प्रमाणीकरण प्रतिक्रिया में कौन से Okta समूह वापस किए जाने चाहिए। Okta मानक RADIUS विशेषताओं का उपयोग करके इस समूह सदस्यता को आपके नेटवर्क कंट्रोलर को वापस पास करता है — आमतौर पर Filter-ID के लिए Attribute 11, या Class के लिए Attribute 25। आपका वायरलेस कंट्रोलर या नेटवर्क एक्सेस कंट्रोल सिस्टम, जैसे कि Aruba ClearPass या Cisco ISE, इस समूह का नाम प्राप्त करता है। फिर आप कंट्रोलर पर एक स्थानीय नीति कॉन्फ़िगर करते हैं जो कहती है, उदाहरण के लिए, यदि RADIUS Attribute 25 'Retail-POS' के बराबर है, तो क्लाइंट को VLAN 40 असाइन करें। कंट्रोलर मानक टनल विशेषताओं — Tunnel-Type, Tunnel-Medium-Type, और Tunnel-Private-Group-ID — को एक्सेस पॉइंट पर भेजता है, जिससे उपयोगकर्ता गतिशील रूप से सही VLAN में आ जाता है। यह विशुद्ध रूप से Okta पहचान के आधार पर नेटवर्क सेगमेंटेशन लागू करने का एक सहज तरीका है, जो PCI-DSS जैसे मानकों के अनुपालन के लिए अत्यधिक शक्तिशाली है, जिसके लिए कार्डधारक डेटा वातावरण के आसपास सख्त नेटवर्क सेगमेंटेशन की आवश्यकता होती है। अब आइए कुछ वास्तविक दुनिया के कार्यान्वयन परिदृश्यों को देखें। यूनाइटेड किंगडम में संपत्तियों वाली एक होटल श्रृंखला पर विचार करें। प्रत्येक संपत्ति में फ्रंट डेस्क स्टाफ, हाउसकीपिंग, खाद्य और पेय, और प्रबंधन का मिश्रण है। पहले, प्रत्येक संपत्ति एक स्थानीय Active Directory के साथ अपना स्वयं का NPS सर्वर चलाती थी। IT टीम ने स्थानीय खातों के प्रबंधन और RADIUS विफलताओं के समस्या निवारण में काफी समय बिताया। एक जोड़ी अनावश्यक क्लाउड वर्चुअल मशीनों में Okta RADIUS एजेंट को तैनात करके, Okta में सभी उपयोगकर्ता खातों को केंद्रीकृत करके, और समूह-आधारित VLAN असाइनमेंट को कॉन्फ़िगर करके, श्रृंखला ने अपने प्रति-संपत्ति IT ओवरहेड को काफी कम कर दिया। फ्रंट डेस्क कर्मचारी अपने Okta क्रेडेंशियल के साथ प्रमाणित होते हैं और स्वचालित रूप से guest-services VLAN पर रख दिए जाते हैं। प्रबंधन कर्मचारी, जो एक अलग Okta समूह में हैं, संपत्ति प्रबंधन प्रणालियों तक पहुंच के साथ प्रबंधन VLAN पर आते हैं। संपूर्ण कॉन्फ़िगरेशन को एक एकल Okta एडमिन कंसोल से प्रबंधित किया जाता है, और Okta सिस्टम लॉग सभी संपत्तियों में प्रत्येक प्रमाणीकरण घटना का एक पूर्ण ऑडिट ट्रेल प्रदान करता है। दूसरा परिदृश्य: 300 से अधिक स्टोरों वाली एक बड़ी खुदरा श्रृंखला। प्रत्येक स्टोर में एक कर्मचारी WiFi नेटवर्क होता है जिसका उपयोग इन्वेंट्री प्रबंधन, पॉइंट-ऑफ-सेल टर्मिनलों और बैक-ऑफिस संचालन के लिए किया जाता है। PCI-DSS अनुपालन के लिए कार्डधारक डेटा वातावरण और सामान्य कर्मचारी पहुंच के बीच सख्त नेटवर्क सेगमेंटेशन की आवश्यकता होती है। अपने मौजूदा वायरलेस बुनियादी ढांचे के साथ Okta RADIUS को एकीकृत करके, खुदरा विक्रेता Okta समूहों — POS-Staff, Inventory-Staff, और Store-Management — को तीन अलग-अलग VLAN से मैप करता है। जब कोई स्टोर सहयोगी जुड़ता है, तो उनका डिवाइस उनकी Okta समूह सदस्यता के आधार पर स्वचालित रूप से सही VLAN में रख दिया जाता है। यदि कोई कर्मचारी भूमिका बदलता है, तो उनकी Okta समूह सदस्यता को अपडेट करने से अगले कनेक्शन पर तुरंत उनका नेटवर्क एक्सेस बदल जाता है। अपडेट करने के लिए कोई फ़ायरवॉल नियम नहीं, व्यक्तिगत स्टोरों पर भेजने के लिए कोई VLAN कॉन्फ़िगरेशन नहीं। अब, आइए कार्यान्वयन सिफारिशों और सामान्य कमियों को कवर करें। पहली और सबसे आम कमी टाइमआउट सेटिंग्स को अनदेखा करना है। Okta API कॉल में समय लगता है, खासकर यदि कोई MFA पुश शामिल हो। यदि आपके वायरलेस कंट्रोलर का RADIUS टाइमआउट डिफ़ॉल्ट तीन या पांच सेकंड पर सेट है, तो उपयोगकर्ता द्वारा अपने फोन पर Approve टैप करने से पहले अनुरोध टाइम आउट हो जाएगा। आपको अपने WLC पर RADIUS टाइमआउट को कम से कम तीस से साठ सेकंड तक बढ़ाना होगा। यह नेटवर्क की तरफ एक कॉन्फ़िगरेशन परिवर्तन है, Okta में नहीं, और इसे अक्सर अनदेखा कर दिया जाता है। दूसरी सिफारिश उच्च उपलब्धता है। कभी भी केवल एक Okta RADIUS एजेंट तैनात न करें। अलग सर्वरों पर कम से कम दो एजेंट तैनात करें और उनके बीच लोड बैलेंस करने के लिए अपने वायरलेस कंट्रोलर को कॉन्फ़िगर करें। यदि एक सर्वर पैचिंग के लिए डाउन हो जाता है, तो आपका WiFi प्रमाणीकरण चालू रहता है। तीसरी कमी: PEAP के साथ सावधान रहें। Okta RADIUS एजेंट PEAP-MSCHAPv2 का समर्थन नहीं करता है, जो कई पुराने Windows वातावरणों के लिए डिफ़ॉल्ट है। आपको अपने क्लाइंट्स को PAP के साथ EAP-TTLS का उपयोग करने के लिए कॉन्फ़िगर करना होगा। इसके लिए आमतौर पर Group Policy या MDM के माध्यम से वायरलेस प्रोफ़ाइल भेजने की आवश्यकता होती, क्योंकि Windows आसानी से EAP-TTLS पर डिफ़ॉल्ट नहीं होता है। ऐसा न करना विफल तैनातियों का नंबर एक कारण है। सामान्य ग्राहक प्रश्नों के आधार पर रैपिड-फायर प्रश्न और उत्तर सत्र का समय। प्रश्न एक: क्या हम अतिथि WiFi के लिए Okta RADIUS का उपयोग कर सकते हैं? उत्तर: नहीं। Okta की कीमत प्रति उपयोगकर्ता है और इसे कार्यबल पहचान के लिए डिज़ाइन किया गया है। अतिथि WiFi के लिए, आपको एक उद्देश्य-निर्मित कैप्टिव पोर्टल समाधान का उपयोग करना चाहिए, जो Okta लाइसेंस का उपभोग किए बिना सेवा की शर्तों, सोशल लॉगिन और एनालिटिक्स को संभालता है। प्रश्न दो: क्या Okta RADIUS WiFi प्रमाणीकरण के लिए YubiKeys का समर्थन करता है? उत्तर: आम तौर पर, नहीं। हार्डवेयर टोकन और WebAuthn, RADIUS प्रोटोकॉल पर अच्छी तरह से अनुवादित नहीं होते हैं। यदि आपको WiFi पर MFA का उपयोग करना ही है, तो Okta Verify push या TOTP पर टिके रहें। प्रश्न तीन: यह Purple तैनाती के साथ कैसे इंटरैक्ट करता है? उत्तर: बहुत अच्छी तरह से। अपने पहचान प्रदाता के रूप में Okta का उपयोग करने वाले Purple उद्यम ग्राहक कर्मचारियों के WiFi को सुरक्षित रूप से प्रमाणित करने के लिए Okta RADIUS का उपयोग कर सकते हैं, जबकि एक अलग SSID पर अतिथि पहुंच के लिए Purple के कैप्टिव पोर्टल का उपयोग कर सकते हैं। यह Purple को एक एकीकृत, आधुनिक प्रमाणीकरण स्टैक में Okta के साथ रखता है — Okta RADIUS के साथ एक SSID पर कर्मचारी, Purple के ब्रांडेड पोर्टल के साथ दूसरे पर अतिथि। आज की ब्रीफिंग को संक्षेप में प्रस्तुत करने के लिए: Okta RADIUS एजेंट पुराने ऑन-प्रिमाइसेस निर्देशिकाओं को समाप्त करने और आपके WiFi प्रमाणीकरण को आपके क्लाउड पहचान प्रदाता में एकीकृत करने का एक शक्तिशाली उपकरण है। यह मजबूत नेटवर्क सेगमेंटेशन के लिए डायनेमिक VLAN असाइनमेंट का समर्थन करता है, जो PCI-DSS और अन्य ढांचों के अनुपालन के लिए महत्वपूर्ण है। हालांकि, यदि आप WiFi पर MFA लागू करते हैं तो उपयोगकर्ता अनुभव का ध्यान रखें, और याद रखें कि पूरी तरह से प्रबंधित कॉर्पोरेट उपकरणों के लिए, एक समर्पित PKI के साथ प्रमाणपत्र-आधारित EAP-TLS पर माइग्रेट करना अधिक सुरक्षित दीर्घकालिक रणनीति है। Okta RADIUS एजेंट एक उत्कृष्ट सेतु समाधान है, विशेष रूप से उन संगठनों के लिए जो Okta-केंद्रित हैं और उस पहचान निवेश को नेटवर्क परत तक तेज़ी से विस्तारित करना चाहते हैं। इस ब्रीफिंग के लिए बस इतना ही। विस्तृत कॉन्फ़िगरेशन चरणों, आर्किटेक्चर आरेखों और व्यावहारिक उदाहरणों के लिए पूर्ण तकनीकी संदर्भ मार्गदर्शिका की जांच करना सुनिश्चित करें। अगली बार तक, अपने नेटवर्क को सुरक्षित रखें और अपने उपयोगकर्ताओं को जोड़े रखें।

header_image.png

कार्यकारी सारांश

होटल श्रृंखलाओं से लेकर स्टेडियमों तक - वितरित स्थानों का प्रबंधन करने वाली उद्यम IT टीमों के लिए, क्लाउड पहचान प्रदाता के साथ नेटवर्क एक्सेस नियंत्रण को एकीकृत करना Zero Trust की दिशा में एक महत्वपूर्ण कदम है। Okta RADIUS एजेंट आधुनिक क्लाउड पहचान और पारंपरिक 802.1X WiFi बुनियादी ढांचे के बीच की दूरी को पाटता है, जिससे संगठनों को नेटवर्क प्रमाणीकरण के लिए पुराने ऑन-प्रिमाइसेस RADIUS सर्वर और Active Directory बुनियादी ढांचे को हटाने की अनुमति मिलती है।

यह मार्गदर्शिका बताती है कि उद्यम WiFi प्रमाणीकरण के लिए Okta RADIUS एजेंट को कैसे तैनात किया जाए, जिसमें प्रॉक्सी आर्किटेक्चर, MFA प्रवर्तन तंत्र, और पासवर्ड-आधारित EAP-TTLS और प्रमाणपत्र-आधारित EAP-TLS के बीच के समझौते शामिल हैं। यह डायनेमिक VLAN असाइनमेंट के लिए Okta समूह सदस्यता को RADIUS विशेषताओं से मैप करने पर व्यावहारिक मार्गदर्शन भी प्रदान करता है — एक ऐसी क्षमता जो सीधे PCI-DSS नेटवर्क सेगमेंटेशन आवश्यकताओं का समर्थन करती है। कर्मचारी प्रमाणीकरण के लिए Okta को Guest WiFi समाधानों के साथ एकीकृत करके, स्थान संचालक पहचान बुनियादी ढांचे की नकल किए बिना एक एकीकृत, सुरक्षित और अनुपालन योग्य एक्सेस लेयर प्राप्त कर सकते हैं।

तकनीकी गहन विश्लेषण

Okta RADIUS एजेंट कैसे काम करता है

Okta RADIUS एजेंट एक हल्का सिस्टम सेवा है जो नेटवर्क एक्सेस सर्वर (NAS) — जैसे कि वायरलेस एक्सेस पॉइंट (WAP) या वायरलेस LAN कंट्रोलर (WLC) — और Okta क्लाउड के बीच एक प्रॉक्सी के रूप में कार्य करता है। यह आमतौर पर ऑन-प्रिमाइसेस या क्लाउड VPC के भीतर Windows या Linux सर्वर पर तैनात किया जाता है, और प्रारंभिक इंस्टॉलेशन के बाद इसे पूरी तरह से Okta एडमिन कंसोल से प्रबंधित किया जाता है।

प्रमाणीकरण प्रवाह एक मानक 802.1X प्रॉक्सी मॉडल का अनुसरण करता है। एक उपयोगकर्ता का डिवाइस (सप्लीकेंट) एक उद्यम SSID से जुड़ता है और क्रेडेंशियल प्रस्तुत करता है। WAP या WLC (प्रमाणीकर्ता) UDP पोर्ट 1812 पर Okta RADIUS एजेंट को एक RADIUS Access-Request अग्रेषित करता है। एजेंट इस अनुरोध को एक HTTPS API कॉल के माध्यम से Okta क्लाउड पर सुरक्षित रूप से टनल करता है, जहां Okta का पॉलिसी इंजन इसके उपयोगकर्ता निर्देशिका और किसी भी कॉन्फ़िगर की गई साइन-ऑन नीतियों के खिलाफ क्रेडेंशियल का मूल्यांकन करता है। यदि प्रमाणीकरण सफल होता है, तो एजेंट प्रमाणीकर्ता को एक RADIUS Access-Accept संदेश लौटाता है, जिसमें वैकल्पिक रूप से प्राधिकरण के लिए RADIUS विशेषताएं जैसे कि VLAN असाइनमेंट शामिल होती हैं। यदि MFA की आवश्यकता है, तो एजेंट क्लाइंट को वापस एक RADIUS Access-Challenge भेजता है, जो अंतिम निर्णय वापस करने से पहले दूसरे कारक के लिए संकेत देता है।

architecture_overview.png

इस प्रॉक्सी मॉडल का अर्थ है कि Okta RADIUS एजेंट को उपयोगकर्ता क्रेडेंशियल को स्थानीय रूप से संग्रहीत करने की आवश्यकता नहीं है। सभी प्रमाणीकरण तर्क, नीति मूल्यांकन और ऑडिट लॉगिंग Okta क्लाउड में होते हैं, जिससे प्रशासकों को क्लाउड अनुप्रयोगों और नेटवर्क एक्सेस दोनों में पहचान नियंत्रण के लिए एक एकल डैशबोर्ड मिलता है।

समर्थित EAP प्रोटोकॉल और महत्वपूर्ण सीमाएं

Okta RADIUS एजेंट की एक मौलिक आर्किटेक्चरल सीमा प्राथमिक प्रमाणीकरण के लिए पासवर्ड ऑथेंटिकेशन प्रोटोकॉल (PAP) पर इसकी निर्भरता है। जबकि PAP आंतरिक परत पर प्लेनटेक्स्ट में पासवर्ड प्रसारित करता है, यह Extensible Authentication Protocol (EAP) के बाहरी TLS टनल द्वारा एनकैप्सुलेटेड और सुरक्षित होता है। समर्थित बाहरी प्रोटोकॉल EAP-TTLS (आंतरिक विधि के रूप में PAP के साथ) और EAP-GTC हैं। EAP विधियों की गहन तुलना के लिए, EAP विधियों की तुलना: PEAP, EAP-TLS, EAP-TTLS और EAP-FAST संदर्भ मार्गदर्शिका देखें।

महत्वपूर्ण रूप से, PEAP-MSCHAPv2 समर्थित नहीं है। यह Windows क्लाइंट और कई पुराने उद्यम वातावरणों के लिए डिफ़ॉल्ट 802.1X प्रोटोकॉल है। पारंपरिक NPS/Active Directory RADIUS सेटअप से माइग्रेट करने वाले संगठनों को PAP के साथ EAP-TTLS का उपयोग करने के लिए अपने क्लाइंट सप्लीकेंट को पुन: कॉन्फ़िगर करना होगा — एक ऐसा बदलाव जिसके लिए आमतौर पर MDM या Group Policy के माध्यम से वायरलेस प्रोफ़ाइल भेजने की आवश्यकता होती है। इस पर ध्यान न देना विफल Okta RADIUS तैनाती का सबसे आम कारण है।

EAP-TLS, जो पूरी तरह से पारस्परिक प्रमाणपत्र-आधारित प्रमाणीकरण पर निर्भर करता है, वह भी Okta RADIUS एजेंट द्वारा मूल रूप से समर्थित नहीं है। EAP-TLS की आवश्यकता वाले संगठनों को एक समर्पित PKI या क्लाउड RADIUS समाधान तैनात करना होगा जो सीधे Okta RADIUS एजेंट का उपयोग करने के बजाय SAML या OIDC के माध्यम से IdP के रूप में Okta के साथ एकीकृत होता है।

WiFi कनेक्शन पर MFA लागू करना

Okta RADIUS एजेंट WiFi एक्सेस के लिए MFA का समर्थन करता है, लेकिन यह उपयोगकर्ता अनुभव की चुनौतियाँ पेश करता है जिन पर तैनाती से पहले सावधानीपूर्वक विचार किया जाना चाहिए। जब कोई MFA नीति ट्रिगर होती है, तो एजेंट क्लाइंट को एक RADIUS Access-Challenge भेजता है। Okta RADIUS अनुप्रयोगों के लिए कई कारकों का समर्थन करता:

MFA कारक PAP EAP-TTLS नोट्स
Okta Verify Push समर्थित समर्थित आउट-ऑफ-बैंड भेजा गया; उपयोगकर्ता मोबाइल पर Approve टैप करता है
TOTP (Okta Verify / Google Auth) समर्थित समर्थित उपयोगकर्ता पासवर्ड में OTP जोड़ता है (जैसे, Pass123,456789)
SMS / Email / Voice समर्थित समर्थित उपयोगकर्ता पहले ट्रिगर स्ट्रिंग (SMS, EMAIL, CALL) भेजता है
Duo Push / SMS / Passcode समर्थित समर्थित EAP-TTLS के लिए केवल Duo पासकोड
YubiKey / U2F / Windows Hello समर्थित नहीं समर्थित नहीं हार्डवेयर टोकन RADIUS प्रोटोकॉल के साथ असंगत हैं

व्यावहारिक बाधा रोमिंग है। Hospitality वातावरण में, एक हाउसकीपर का टैबलेट प्रति शिफ्ट दर्जनों बार एक्सेस पॉइंट के बीच रोम कर सकता है, जिससे हर बार पुन: प्रमाणीकरण ट्रिगर होता है। हर रोम पर पुश नोटिफिकेशन अनुमोदन की आवश्यकता होना परिचालन रूप से असंभव है। सामान्य कर्मचारियों के WiFi के लिए, सक्रिय MFA संकेतों के बजाय आमतौर पर Okta के डिवाइस ट्रस्ट और नेटवर्क ज़ोन नीतियों के साथ मजबूत पासवर्ड नीतियों को प्राथमिकता दी जाती है। WiFi पर MFA को प्रशासनिक SSIDs या उच्च-विशेषाधिकार प्राप्त एक्सेस परिदृश्यों के लिए आरक्षित किया जाना चाहिए।

पासवर्ड-आधारित बनाम प्रमाणपत्र-आधारित प्रमाणीकरण

पासवर्ड-आधारित RADIUS (Okta RADIUS एजेंट के माध्यम से) और प्रमाणपत्र-आधारित EAP-TLS के बीच चयन उद्यम WiFi तैनाती में सबसे महत्वपूर्ण निर्णयों में से एक है। यह समझौता केवल सुरक्षा के बारे में नहीं है; इसमें तैनाती की जटिलता, डिवाइस प्रबंधन की परिपक्वता और परिचालन ओवरहेड शामिल हैं।

comparison_chart.png

Okta RADIUS एजेंट के माध्यम से पासवर्ड-आधारित प्रमाणीकरण एकीकृत पहचान के लिए एक त्वरित मार्ग प्रदान करता है। यदि आपका संगठन पहले से ही Okta में उपयोगकर्ताओं को प्रबंधित करता है, तो तैनाती हफ्तों के बजाय घंटों में पूरी की जा सकती है। इसमें बनाने के लिए कोई PKI नहीं है, वितरित करने के लिए कोई प्रमाणपत्र नहीं है, और कोई MDM निर्भरता नहीं है। नुकसान यह है कि पासवर्ड प्राथमिक क्रेडेंशियल बने रहते हैं, और पारस्परिक प्रमाणीकरण की अनुपस्थिति का मतलब है कि क्लाइंट नेटवर्क की पहचान को क्रिप्टोग्राफ़िक रूप से सत्यापित नहीं कर सकता है — जो उच्च जोखिम वाले वातावरण में evil twin हमलों के लिए एक माध्यम है।

प्रमाणपत्र-आधारित EAP-TLS पासवर्ड को WiFi प्रमाणीकरण समीकरण से पूरी तरह से समाप्त कर देता है। क्लाइंट एक डिवाइस प्रमाणपत्र प्रस्तुत करता है, और RADIUS सर्वर एक सर्वर प्रमाणपत्र प्रस्तुत करता, जो पारस्परिक प्रमाणीकरण प्रदान करता है। यह WPA3-Enterprise नेटवर्क पर IEEE 802.1X के लिए अनुशंसित दृष्टिकोण है, विशेष रूप से उन वातावरणों में जो PCI-DSS या NCSC Cyber Essentials Plus के अधीन हैं। इसके लिए एक कार्यात्मक PKI — या तो ऑन-प्रिमाइसेस Microsoft ADCS तैनाती या क्लाउड PKI सेवा — और एक MDM प्लेटफ़ॉर्म की आवश्यकता होती है जो सभी प्रबंधित एंडपॉइंट्स पर प्रमाणपत्र वितरित करने में सक्षम हो। सैकड़ों प्रबंधित पॉइंट-ऑफ-सेल उपकरणों वाले Retail वातावरण के लिए, यह निवेश पूरी तरह से उचित है। BYOD-प्रधान वातावरण या त्वरित तैनाती के लिए, EAP-TTLS के साथ Okta RADIUS व्यावहारिक विकल्प है।

डायनेमिक VLAN असाइनमेंट के लिए RADIUS विशेषता मैपिंग

डायनेमिक VLAN असाइनमेंट वह जगह है जहां Okta RADIUS एकीकरण अपना सबसे ठोस परिचालन मूल्य प्रदान करता है। Okta समूह सदस्यता को RADIUS विशेषताओं से मैप करके, नेटवर्क प्रशासक प्रति डिवाइस या प्रति स्थान अलग VLAN नीतियों को बनाए रखे बिना भूमिका-आधारित नेटवर्क सेगमेंटेशन लागू कर सकते हैं।

Okta, Okta एप्लिकेशन की Advanced RADIUS Settings में कॉन्फ़िगर करने योग्य तीन विशेषताओं में से एक का उपयोग करके RADIUS Access-Accept संदेश में समूह सदस्यता डेटा पास करता है:

  • Attribute 11 (Filter-Id): एक स्ट्रिंग विशेषता जिसमें समूह का नाम होता है। विक्रेताओं के बीच व्यापक रूप से समर्थित।
  • Attribute 25 (Class): प्राधिकरण के लिए उपयोग की जाने वाली एक अपारदर्शी विशेषता। Cisco ISE, Aruba ClearPass, और Fortinet द्वारा समर्थित।
  • Attribute 26 (Vendor-Specific): अधिक विस्तृत नियंत्रण के लिए विक्रेता-विशिष्ट उप-विशेषताओं की अनुमति देता है।

नेटवर्क कंट्रोलर (WLC, NAC उपकरण) चुनी गई विशेषता में Okta समूह का नाम प्राप्त करता है और इसे VLAN असाइनमेंट के लिए आवश्यक मानक RADIUS टनल विशेषताओं से मैप करता है:

RADIUS विशेषता मान उद्देश्य
64 (Tunnel-Type) 13 (VLAN) VLAN टनलिंग निर्दिष्ट करता है
65 (Tunnel-Medium-Type) 6 (802) IEEE 802 माध्यम निर्दिष्ट करता है
81 (Tunnel-Private-Group-ID) जैसे, 40 लक्षित VLAN ID

उदाहरण के लिए, Okta समूह Retail-POS-Staff के एक उपयोगकर्ता के लिए Access-Accept में Class: Retail-POS-Staff वापस किया जाएगा। WLC नीति इसे Tunnel-Private-Group-ID: 40 से मैप करेगी, जिससे डिवाइस VLAN 40 — पृथक POS नेटवर्क पर आ जाएगा। Store-Management के एक उपयोगकर्ता को VLAN 50 पर रखा जाएगा। यह तर्क नेटवर्क के किनारे पर लागू होता है, Okta में नहीं, लेकिन यह पूरी तरह से Okta समूह सदस्यता द्वारा संचालित होता है।

कार्यान्वयन मार्गदर्शिका

चरण 1: Okta RADIUS एजेंट तैनात करें (उच्च उपलब्धता)

उच्च उपलब्धता सुनिश्चित करने के लिए कम से कम दो सर्वरों पर — या तो ऑन-प्रिमाइसेस या क्लाउड VPC में — Okta RADIUS एजेंट तैनात करें। एकल-एजेंट तैनातियां एक गंभीर जोखिम हैं: यदि सर्वर पैचिंग के लिए अनुपलब्ध है या विफलता का अनुभव करता है, तो पूरे परिसर में सभी 802.1X WiFi प्रमाणीकरण विफल हो जाएंगे। दोनों एजेंटों के बीच RADIUS अनुरोधों को लोड बैलेंस करने के लिए अपने WLC या NAC उपकरण को कॉन्फ़िगर करें।

इंस्टॉलेशन के दौरान, एजेंट को अधिकृत करने और इसे Okta टेनेंट से जोड़ने के लिए एजेंट एक Okta प्रशासक लॉगिन के लिए संकेत देगा। एक बार अधिकृत होने के बाद, एजेंट Okta एडमिन कंसोल में Settings > Downloads > RADIUS Agent Status के अंतर्गत दिखाई देता है, जहां स्वास्थ्य और कनेक्टिविटी की निगरानी की जा सकती है।

चरण 2: Okta में RADIUS एप्लिकेशन कॉन्फ़िगर करें

  1. Okta एडमिन कंसोल में, Applications > Applications पर जाएं और ऐप कैटलॉग में RADIUS Application खोजें।
  2. एप्लिकेशन जोड़ें, इसे एक वर्णनात्मक नाम दें (जैसे, Corporate-WiFi-Staff), और Next पर क्लिक करें।
  3. Sign On टैब के अंतर्गत, RADIUS Port (डिफ़ॉल्ट 1812) कॉन्फ़िगर करें और कम से कम 32 वर्णों का एक मजबूत, बेतरतीब ढंग से उत्पन्न Shared Secret उत्पन्न करें।
  4. Advanced RADIUS Settings के अंतर्गत, यदि आप पासवर्ड के साथ जुड़े TOTP का समर्थन करना चाहते हैं, तो Accept password and security token in the same login request को सक्षम करें।
  5. निर्बाध पुश-आधारित MFA के लिए वैकल्पिक रूप से Permit Automatic Push for Okta Verify Enrolled Users को सक्षम करें।
  6. अपने कर्मचारियों का प्रतिनिधित्व करने वाले प्रासंगिक Okta समूहों को एप्लिकेशन असाइन करें।

चरण 3: समूह-आधारित VLAN असाइनमेंट कॉन्फ़िगर करें

  1. RADIUS एप्लिकेशन की Sign On सेटिंग्स में, Advanced RADIUS Settings अनुभाग में Edit पर क्लिक करें।
  2. Include groups in RADIUS response को चेक करें।
  3. RADIUS विशेषता चुनें: Aruba और Cisco वातावरण के लिए 25 Class की सिफारिश की जाती है; Fortinet और अन्य के लिए 11 Filter-Id
  4. शामिल करने के लिए विशिष्ट Okta समूह नाम जोड़ें (जैसे, Retail-POS-Staff, Store-Management, IT-Admins)।
  5. अपने WLC या NAC उपकरण पर, प्रवर्तन नीतियां बनाएं जो प्रत्येक समूह के नाम को संबंधित VLAN टनल विशेषताओं से मैप करती हैं।

चरण 4: क्लाइंट सप्लीकेंट कॉन्फ़िगर करें

चूंकि PEAP-MSCHAPv2 असमर्थित है, इसलिए क्लाइंट उपकरणों को आंतरिक विधि के रूप में EAP-TTLS with PAP का उपयोग करने के लिए कॉन्फ़िगर किया जाना चाहिए। अपने MDM प्लेटफ़ॉर्म (जैसे, Microsoft Intune, Jamf Pro) के माध्यम से या Windows डोमेन-शामिल उपकरणों के लिए Group Policy Objects (GPO) के माध्यम से एक वायरलेस नेटवर्क प्रोफ़ाइल तैनात करें। प्रोफ़ाइल में निम्नलिखित निर्दिष्ट होना चाहिए:

  • SSID: आपका उद्यम SSID नाम
  • Security: WPA2-Enterprise या WPA3-Enterprise
  • EAP Method: EAP-TTLS
  • Inner Authentication: PAP
  • Server Certificate Validation: सक्षम (अपने RADIUS एजेंट के सर्वर प्रमाणपत्र CN पर पिन करें)

चरण 5: RADIUS टाइमआउट सेट करें

अपने WLC पर RADIUS टाइमआउट को डिफ़ॉल्ट 3-5 सेकंड से बढ़ाकर 30-60 सेकंड करें। यह महत्वपूर्ण है यदि MFA पुश नोटिफिकेशन उपयोग में हैं, क्योंकि उपयोगकर्ता के पास WLC द्वारा प्रमाणीकरण प्रयास को छोड़ने से पहले अपने डिवाइस पर अधिसूचना को स्वीकृत करने के लिए पर्याप्त समय होना चाहिए।

सर्वोत्तम प्रथाएं

WiFi प्रमाणीकरण के लिए Okta RADIUS को तैनात करना सीधा है, लेकिन कई परिचालन सर्वोत्तम प्रथाएं एक लचीली उत्पादन तैनाती को एक नाजुक प्रूफ-ऑफ-कॉन्सेप्ट से अलग करती हैं।

SSID स्तर पर अतिथि और कर्मचारी ट्रैफ़िक को विभाजित करें। Okta RADIUS एक कार्यबल पहचान उपकरण है। आगंतुक और अतिथि पहुंच के लिए, एक समर्पित कैप्टिव पोर्टल समाधान तैनात करें। यह अतिथि संख्या के साथ Okta लाइसेंस लागत को बढ़ने से रोकता है और चिंताओं का स्पष्ट पृथक्करण सुनिश्चित करता है। Purple उद्यम ग्राहक उसी भौतिक बुनियादी ढांचे पर कर्मचारियों के प्रमाणीकरण के लिए Okta RADIUS का उपयोग करते हुए एक अलग SSID पर Guest WiFi तैनात कर सकते हैं।

जटिल नीति वातावरण के लिए NAC उपकरण का उपयोग करें। यदि आपके वातावरण को उपयोगकर्ता पहचान के साथ-साथ डिवाइस की स्थिति, MAC पता फ़िल्टरिंग, या प्रमाणपत्र स्थिति के आधार पर सशर्त पहुंच की आवश्यकता है, तो Okta RADIUS एजेंट को अनुरोधों को प्रॉक्सी करने के लिए एक मध्यवर्ती NAC उपकरण (Aruba ClearPass, Cisco ISE, या Portnox) तैनात करें। NAC उपकरण RADIUS प्रतिक्रिया को अतिरिक्त टनल विशेषताओं के साथ समृद्ध कर सकता है जो अकेले Okta एजेंट उत्पन्न नहीं कर सकता है।

Okta सिस्टम लॉग के माध्यम से निगरानी करें। प्रत्येक प्रमाणीकरण घटना — सफलता, विफलता, MFA चुनौती, और कारक प्रकार — Okta सिस्टम लॉग में दर्ज की जाती है। प्रमाणीकरण विसंगतियों पर वास्तविक समय की चेतावनी के लिए अपने SIEM में लॉग स्ट्रीमिंग कॉन्फ़िगर करें। यह विशेष रूप से ऑडिट आवश्यकताओं के अधीन Healthcare और सार्वजनिक क्षेत्र के संगठनों के लिए मूल्यवान है।

एक शेड्यूल पर साझा रहस्यों को घुमाएं। Okta RADIUS एप्लिकेशन और आपके NAS के बीच साझा रहस्य एक महत्वपूर्ण सुरक्षा क्रेडेंशियल है। एक रोटेशन शेड्यूल लागू करें (त्रैमासिक अनुशंसित है) और Okta एप्लिकेशन और WLC/NAC कॉन्फ़िगरेशन दोनों को एक साथ अपडेट करें।

RADIUS सेवा पतों को प्रतिबंधित करें। Okta RADIUS एजेंट कॉन्फ़िगरेशन में, प्रतिबंधित करें कि किन IP पतों को RADIUS अनुरोध भेजने की अनुमति है। यह अनधिकृत NAS उपकरणों को आपके Okta टेनेंट के खिलाफ प्रमाणीकरण का प्रयास करने से रोकता है।

व्यापक नेटवर्क आर्किटेक्चर संदर्भ पर मार्गदर्शन के लिए, आधुनिक व्यवसायों के लिए मुख्य SD WAN लाभ और वायरलेस एक्सेस पॉइंट्स की परिभाषा: आपकी अंतिम 2026 गाइड देखें।

समस्या निवारण और जोखिम शमन

निम्नलिखित तालिका Okta RADIUS WiFi तैनातियों में आने वाली सबसे आम विफलता मोड और उनके अनुशंसित शमन का सारांश प्रस्तुत करती है।

विफलता मोड मूल कारण शमन
प्रमाणीकरण टाइमआउट Okta API या MFA प्रतिक्रिया के लिए WLC RADIUS टाइमआउट बहुत छोटा है WLC RADIUS टाइमआउट को बढ़ाकर 30-60 सेकंड करें
Windows क्लाइंट अस्वीकृत Windows डिफ़ॉल्ट रूप से PEAP-MSCHAPv2 पर सेट होता है, जिसे Okta RADIUS अस्वीकार कर देता है MDM या GPO के माध्यम से EAP-TTLS/PAP वायरलेस प्रोफ़ाइल भेजें
गलत VLAN में उपयोगकर्ता Okta समूह नाम बेमेल या WLC पर टनल विशेषताओं का गायब होना सत्यापित करें कि WLC Class/Filter-Id को Tunnel-Private-Group-ID से मैप करता है; Okta सिस्टम लॉग की जांच करें
एजेंट पहुंच से बाहर सर्वर ऑफ़लाइन, API टोकन समाप्त, या फ़ायरवॉल Okta के लिए HTTPS को ब्लॉक कर रहा है अनावश्यक एजेंट तैनात करें; Okta एडमिन कंसोल में एजेंट की स्थिति की निगरानी करें; आउटबाउंड HTTPS सत्यापित करें
MFA पुश डिलीवर नहीं हुआ उपयोगकर्ता Okta Verify में नामांकित नहीं है, या मोबाइल डिवाइस ऑफ़लाइन है Okta Verify नामांकन नीति लागू करें; फ़ॉलबैक के रूप में TOTP पर विचार करें
प्रमाणपत्र सत्यापन त्रुटियां क्लाइंट RADIUS सर्वर प्रमाणपत्र को सत्यापित नहीं कर सकता क्लाइंट वायरलेस प्रोफ़ाइल में सर्वर प्रमाणपत्र CN पिन करें; सुनिश्चित करें कि CA श्रृंखला विश्वसनीय है
VLAN विशेषताएं नहीं भेजी गईं Okta समूह RADIUS प्रतिक्रिया कॉन्फ़िगरेशन में शामिल नहीं है सत्यापित करें कि समूह Advanced RADIUS Settings में सूचीबद्ध है; पुष्टि करें कि उपयोगकर्ता Okta में समूह का सदस्य है

Transport और सार्वजनिक क्षेत्र के वातावरण के लिए जहां नेटवर्क अपटाइम मिशन-महत्वपूर्ण है, सिंथेटिक निगरानी लागू करें जो समय-समय पर एंड-टू-एंड RADIUS प्रमाणीकरण का परीक्षण करती है और उपयोगकर्ताओं के प्रभावित होने से पहले विफलता पर सचेत करती है।

ROI और व्यावसायिक प्रभाव

Okta RADIUS WiFi प्रमाणीकरण का व्यावसायिक मामला तीन स्तंभों पर टिका है: परिचालन दक्षता, सुरक्षा स्थिति में सुधार, और अनुपालन तत्परता।

परिचालन दक्षता। WiFi प्रमाणीकरण को Okta में समेकित करने से प्रत्येक स्थान या साइट पर अलग ऑन-प्रिमाइसेस RADIUS बुनियादी ढांचे (NPS सर्वर, स्थानीय AD) को बनाए रखने की आवश्यकता समाप्त हो जाती है। 50 संपत्तियों वाली एक होटल श्रृंखला के लिए, यह प्रति-साइट बुनियादी ढांचे की लागत और IT सहायता ओवरहेड में महत्वपूर्ण कमी का प्रतिनिधित्व कर सकता है। उपयोगकर्ता प्रोविज़निंग और डीप्रोविज़निंग परमाणु बन जाते हैं: सही Okta समूह में एक उपयोगकर्ता को जोड़ने से एप्लिकेशन एक्सेस और उपयुक्त WiFi VLAN एक्सेस दोनों एक साथ मिल जाते हैं। जब कोई कर्मचारी छोड़ता है, तो उनके Okta खाते को निष्क्रिय करने से तुरंत सभी साइटों पर WiFi एक्सेस रद्द हो जाता है।

सुरक्षा स्थिति। साझा PSK WiFi पासवर्ड को प्रति-उपयोगकर्ता 802.1X प्रमाणीकरण से बदलने से क्रेडेंशियल साझाकरण समाप्त हो जाता है, जो अंदरूनी खतरे और अनधिकृत पहुंच के लिए एक आम माध्यम है। डायनेमिक VLAN असाइनमेंट के साथ मिलकर, यह नेटवर्क परत पर न्यूनतम विशेषाधिकार के सिद्धांत को लागू करता है। Okta सिस्टम लॉग प्रत्येक WiFi प्रमाणीकरण घटना का एक पूर्ण, छेड़छाड़-स्पष्ट ऑडिट ट्रेल प्रदान करता, जो घटना प्रतिक्रिया के लिए आवश्यक है।

अनुपालन तत्परता। PCI-DSS 4.0 आवश्यकता 8.3 सभी गैर-कंसोल प्रशासनिक पहुंच के लिए MFA को अनिवार्य बनाती है। आवश्यकता 1.3 के लिए कार्डधारक डेटा वातावरण और अन्य नेटवर्क के बीच नेटवर्क सेगमेंटेशन की आवश्यकता होती है। समूह-आधारित VLAN असाइनमेंट के साथ Okta RADIUS सीधे दोनों आवश्यकताओं को पूरा करता है। GDPR अनुपालन के लिए, Okta सिस्टम लॉग व्यक्तिगत डेटा प्रसंस्करण प्रणालियों पर उपयुक्त तकनीकी नियंत्रण प्रदर्शित करने के लिए आवश्यक एक्सेस रिकॉर्ड प्रदान करता है। आधुनिक आतिथ्य WiFi समाधान तैनात करने वाले स्थानों के लिए, पहचान और नेटवर्क एक्सेस के लिए यह एकीकृत दृष्टिकोण उद्यम खरीद के लिए तेजी से एक पूर्वापेक्षा बनता जा रहा है।

इस एकीकरण को पूरा करने वाले संगठन आमतौर पर WiFi से संबंधित IT सहायता टिकटों में कमी (कम पासवर्ड रीसेट अनुरोध, कम VLAN गलत कॉन्फ़िगरेशन घटनाएं) और सुरक्षा ऑडिट स्कोर में मापने योग्य सुधार की रिपोर्ट करते हैं। Okta RADIUS एजेंट को तैनात और कॉन्फ़िगर करने में निवेश — जो आमतौर पर एकल-साइट तैनाती के लिए हफ्तों के बजाय दिनों में मापा जाता है — निरंतर परिचालन बचत प्रदान करता है जो एक वितरित संपत्ति में और बढ़ जाती है।

मुख्य परिभाषाएं

Okta RADIUS Agent

एक हल्का ऑन-प्रिमाइसेस या क्लाउड-होस्टेड प्रॉक्सी सेवा जो नेटवर्क बुनियादी ढांचे (एक्सेस पॉइंट, WLC) से RADIUS प्रमाणीकरण अनुरोधों को Okta API कॉल में अनुवादित करती है, जिससे Okta क्लाउड 802.1X WiFi के लिए प्रमाणीकरण बैकएंड के रूप में कार्य करने में सक्षम होता है।

IT टीमें इसका सामना तब करती हैं जब वे Okta द्वारा समर्थित उद्यम WiFi प्रमाणीकरण तैनात करती हैं। यह पुराने RADIUS-आधारित नेटवर्क बुनियादी ढांचे और आधुनिक क्लाउड पहचान के बीच महत्वपूर्ण सेतु घटक है.

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (NAC) के लिए एक IEEE मानक जो वायर्ड और वायरलेस नेटवर्क के लिए एक प्रमाणीकरण ढांचा परिभाषित करता है। यह सप्लीकेंट (डिवाइस), प्रमाणीकर्ता (AP/स्विच), और प्रमाणीकरण सर्वर (RADIUS) के बीच प्रमाणीकरण क्रेडेंशियल ले जाने के लिए Extensible Authentication Protocol (EAP) का उपयोग करता है।

802.1X उद्यम WiFi सुरक्षा की नींव है। WPA2-Enterprise या WPA3-Enterprise का उपयोग करने वाली कोई भी तैनाती 802.1X का उपयोग कर रही है। कनेक्टिविटी समस्याओं के निवारण के लिए IT टीमों को तीन-पक्षीय मॉडल (सप्लीकेंट, प्रमाणीकर्ता, प्रमाणीकरण सर्वर) को समझना चाहिए।

EAP-TTLS (Extensible Authentication Protocol - Tunnelled Transport Layer Security)

एक EAP विधि जो केवल सर्वर-साइड प्रमाणपत्र का उपयोग करके एक TLS टनल स्थापित करती है, फिर टनल के भीतर एक सरल आंतरिक प्रमाणीकरण प्रोटोकॉल (जैसे कि PAP) ले जाती है। यह केवल सर्वर-साइड प्रमाणपत्र बुनियादी ढांचे की आवश्यकता के साथ आंतरिक क्रेडेंशियल को जासूसी से बचाता है।

PAP के साथ EAP-TTLS Okta RADIUS WiFi प्रमाणीकरण के लिए अनुशंसित प्रोटोकॉल है। यह केवल PAP की तुलना में अधिक सुरक्षित है लेकिन इसके लिए क्लाइंट-साइड प्रमाणपत्रों की आवश्यकता नहीं होती है, जिससे यह BYOD और मिश्रित-डिवाइस वातावरण के लिए व्यावहारिक बन जाता है।

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

एक EAP विधि जो पारस्परिक प्रमाणपत्र-आधारित प्रमाणीकरण का उपयोग करती है — क्लाइंट और सर्वर दोनों डिजिटल प्रमाणपत्र प्रस्तुत करते हैं। यह सबसे सुरक्षित 802.1X विधि है, जो फ़िशिंग-प्रतिरोधी, पासवर्ड-मुक्त प्रमाणीकरण प्रदान करती है।

प्रबंधित कॉर्पोरेट डिवाइस वातावरण के लिए EAP-TLS स्वर्ण मानक है। इसके लिए प्रमाणपत्र वितरण के लिए एक PKI बुनियादी ढांचे और MDM की आवश्यकता होती है। Okta RADIUS एजेंट मूल रूप से EAP-TLS का समर्थन नहीं करता है; एक समर्पित क्लाउड PKI या RADIUS सेवा की आवश्यकता होती है।

PAP (Password Authentication Protocol)

एक सरल प्रमाणीकरण प्रोटोकॉल जो उपयोगकर्ता नाम और पासवर्ड को प्लेनटेक्स्ट में प्रसारित करता है। 802.1X के संदर्भ में, PAP का उपयोग EAP-TTLS टनल के अंदर आंतरिक प्रमाणीकरण विधि के रूप में किया जाता है, जहां बाहरी TLS परत एन्क्रिप्शन प्रदान करती है।

PAP, Okta RADIUS एजेंट द्वारा समर्थित प्राथमिक प्रमाणीकरण तंत्र है। IT टीमों को यह समझना चाहिए कि अकेले PAP असुरक्षित है, लेकिन EAP-TTLS के अंदर PAP उद्यम WiFi के लिए तब स्वीकार्य है जब सर्वर प्रमाणपत्र को ठीक से सत्यापित किया गया हो।

Dynamic VLAN Assignment

एक नेटवर्क एक्सेस कंट्रोल तकनीक जहां एक RADIUS सर्वर Access-Accept संदेश में VLAN असाइनमेंट विशेषताओं को लौटाता है, जिससे वायरलेस कंट्रोलर या स्विच प्रमाणित क्लाइंट को एक स्थिर प्रति-SSID VLAN के बजाय उनकी पहचान या समूह सदस्यता के आधार पर एक विशिष्ट VLAN पर रखता है।

बहु-भूमिका वाले वातावरण में नेटवर्क सेगमेंटेशन के लिए डायनेमिक VLAN असाइनमेंट आवश्यक है (जैसे, सामान्य कर्मचारी उपकरणों से POS टर्मिनलों को अलग करना)। इसे Access-Accept संदेश में RADIUS विशेषताओं 64, 65, और 81 को वापस करके कॉन्फ़िगर किया जाता है।

RADIUS Attribute 25 (Class)

एक मानक RADIUS विशेषता जिसका उपयोग प्रमाणीकरण सर्वर से NAS को मनमाना प्राधिकरण डेटा पास करने के लिए किया जाता है। Okta इस विशेषता का उपयोग वायरलेस कंट्रोलर को Okta समूह सदस्यता जानकारी वापस करने के लिए करता है, जो तब इसका उपयोग VLAN असाइनमेंट या एक्सेस नीति निर्णयों के लिए कर सकता है।

Okta समूह-आधारित VLAN असाइनमेंट को कॉन्फ़िगर करने वाली IT टीमें Class विशेषता मान को पढ़ने और इसे VLAN ID से मैप करने के लिए WLC को कॉन्फ़िगर करेंगी। उपयोग करने के लिए सटीक विशेषता (11, 25, या 26) WLC विक्रेता के दस्तावेज़ों पर निर्भर करती है।

NAS (Network Access Server)

RADIUS शब्दावली में, NAS वह नेटवर्क डिवाइस है जो उपयोगकर्ता के कनेक्शन अनुरोध को प्राप्त करता है और प्रमाणीकरण के लिए इसे RADIUS सर्वर पर अग्रेषित करता है। WiFi तैनातियों में, NAS आमतौर पर वायरलेस एक्सेस पॉइंट या वायरलेस LAN कंट्रोलर होता है।

NAS, 802.1X मॉडल में प्रमाणीकर्ता है। IT टीमों को RADIUS सर्वर IP पते, पोर्ट और साझा रहस्य के साथ NAS को कॉन्फ़िगर करना होगा। NAS IP पते को Okta RADIUS एजेंट के सेवा पता फ़िल्टरिंग कॉन्फ़िगरेशन में श्वेतसूची में डाला जाना चाहिए।

Shared Secret

NAS (WLC/AP) और RADIUS सर्वर (Okta RADIUS एजेंट) के बीच RADIUS संदेशों को प्रमाणित करने के लिए उपयोग किया जाने वाला एक पूर्व-साझा पासवर्ड। इसका उपयोग Message-Authenticator हैश की गणना करने के लिए किया जाता है जो RADIUS पैकेट की अखंडता को सत्यापित करता है।

साझा रहस्य Okta RADIUS एप्लिकेशन कॉन्फ़िगरेशन और WLC/NAC RADIUS सर्वर प्रविष्टि दोनों पर समान होना चाहिए। यह कम से कम 32 वर्णों का होना चाहिए, बेतरतीब ढंग से उत्पन्न होना चाहिए, और एक नियमित शेड्यूल पर घुमाया जाना चाहिए। बेमेल होना RADIUS प्रमाणीकरण विफलताओं का एक आम कारण है।

MFA Challenge (RADIUS Access-Challenge)

अतिरिक्त प्रमाणीकरण कारकों की आवश्यकता होने पर प्रमाणीकरण सर्वर द्वारा NAS को भेजा जाने वाला एक RADIUS संदेश प्रकार। NAS चुनौती को क्लाइंट को रिले करता, जिसे प्रमाणीकरण पूरा होने से पहले उपयुक्त कारक (जैसे, OTP, पुश अनुमोदन) के साथ प्रतिक्रिया देनी होगी।

Access-Challenge तंत्र वह तरीका है जिससे Okta, RADIUS पर MFA लागू करता है। IT टीमों को यह सुनिश्चित करना चाहिए कि WLC चुनौती-प्रतिक्रिया विनिमय का समर्थन करता है और RADIUS टाइमआउट उपयोगकर्ता के लिए MFA चरण को पूरा करने के लिए पर्याप्त लंबा है।

हल किए गए उदाहरण

एक 150-संपत्ति वाली होटल श्रृंखला वर्तमान में 802.1X कर्मचारी WiFi प्रमाणीकरण के लिए प्रत्येक संपत्ति पर ऑन-प्रिमाइसेस NPS सर्वर का उपयोग करती है। प्रत्येक NPS सर्वर एक स्थानीय Active Directory डोमेन से जुड़ा हुआ है। IT टीम Okta में पहचान प्रबंधन को केंद्रीकृत करना चाहती है और प्रति-संपत्ति NPS बुनियादी ढांचे को समाप्त करना चाहती है। उन्हें माइग्रेशन के लिए क्या दृष्टिकोण अपनाना चाहिए?

अनुशंसित दृष्टिकोण प्रत्येक संपत्ति के बजाय एक केंद्रीकृत क्लाउड VPC में तैनात Okta RADIUS एजेंट का उपयोग करके चरणबद्ध माइग्रेशन है। चरण 1: अधिकांश संपत्तियों के समान क्षेत्र में क्लाउड VPC (जैसे, AWS या Azure) में दो Okta RADIUS एजेंट इंस्टेंस तैनात करें। एजेंटों को UDP 1812 पर सुनने के लिए कॉन्फ़िगर करें। चरण 2: प्रत्येक संपत्ति के लिए, WLC पर द्वितीयक RADIUS सर्वर के रूप में Okta RADIUS एजेंट IP जोड़ें, मौजूदा NPS को प्राथमिक के रूप में रखें। यह लाइव प्रमाणीकरण को बाधित किए बिना समानांतर संचालन और परीक्षण की अनुमति देता है। चरण 3: उपयोगकर्ताओं को स्थानीय AD से Okta में माइग्रेट करें। शुरू में मौजूदा खातों को सिंक करने के लिए Okta के AD एजेंट का उपयोग करें, फिर धीरे-धीरे आधिकारिक स्रोत के रूप में Okta पर जाएं। चरण 4: प्रत्येक संपत्ति के लिए, EAP-TTLS/PAP का उपयोग करने के लिए WLC को कॉन्फ़िगर करें और MDM के माध्यम से कर्मचारी उपकरणों पर नई वायरलेस प्रोफ़ाइल भेजें। चरण 5: एक बार जब सभी उपकरणों के EAP-TTLS पर होने की पुष्टि हो जाती है, तो WLC RADIUS प्राथमिकता को प्राथमिक के रूप में Okta एजेंटों पर स्विच करें और NPS सर्वर को बंद कर दें। Okta समूह (Front-Desk, Housekeeping, F&B, Management, IT-Admins) कॉन्फ़िगर करें और Attribute 25 (Class) का उपयोग करके समूह-आधारित VLAN असाइनमेंट सक्षम करें। WLC पर प्रत्येक समूह को उपयुक्त VLAN से मैप करें। Okta API विलंबता को समायोजित करने के लिए WLC RADIUS टाइमआउट को 45 सेकंड तक बढ़ाएं।

परीक्षक की टिप्पणी: यह चरणबद्ध दृष्टिकोण इसलिए बेहतर है क्योंकि यह एक साथ 150 संपत्तियों में अचानक बदलाव के जोखिम को समाप्त करता है। संक्रमण अवधि के दौरान NPS और Okta RADIUS को समानांतर में चलाने का मतलब है कि लाइव उपयोगकर्ताओं को प्रभावित किए बिना किसी भी गलत कॉन्फ़िगरेशन को पकड़ा और सुधारा जा सकता है। RADIUS एजेंटों की क्लाउड VPC तैनाती प्रति-संपत्ति तैनाती की तुलना में आर्किटेक्चरल रूप से बेहतर है क्योंकि यह प्रबंधन को केंद्रीकृत करती, बुनियादी ढांचे के पदचिह्न को कम करती है, और सुसंगत नीति प्रवर्तन सुनिश्चित करती है, चाहे उपयोगकर्ता किसी भी संपत्ति से प्रमाणित हो रहा हो। कम करने के लिए मुख्य जोखिम संपत्ति और क्लाउड VPC के बीच WAN विलंबता है — अच्छे उपयोगकर्ता अनुभव के लिए RADIUS प्रमाणीकरण 2 सेकंड से कम समय में पूरा होना चाहिए, इसलिए VPC क्षेत्र का चयन राउंड-ट्रिप समय को कम करने वाला होना चाहिए।

320 स्टोरों वाली एक राष्ट्रीय खुदरा श्रृंखला को अपने कर्मचारियों के WiFi के लिए PCI-DSS 4.0 अनुपालन प्राप्त करने की आवश्यकता है। स्टोर सहयोगी इन्वेंट्री प्रबंधन के लिए हैंडहेल्ड उपकरणों का उपयोग करते हैं, और उपकरणों का एक अलग सेट पॉइंट-ऑफ-सेल लेनदेन को संभालता है। श्रृंखला सभी कार्यबल पहचान के लिए Okta का उपयोग करती है। वे PCI-DSS नेटवर्क सेगमेंटेशन आवश्यकताओं को पूरा करने के लिए Okta RADIUS का उपयोग करके VLAN सेगमेंटेशन कैसे लागू करते हैं?

तीन Okta समूह बनाएं: POS-Staff (उन कर्मचारियों के लिए जो POS टर्मिनलों का संचालन करते हैं), Inventory-Staff (गोदाम और दुकान के फर्श के सहयोगियों के लिए), और Store-Management। Okta RADIUS एप्लिकेशन में, 'Include groups in RADIUS response' सक्षम करें और Attribute 25 (Class) चुनें। प्रतिक्रिया कॉन्फ़िगरेशन में तीनों समूहों को जोड़ें। प्रत्येक स्टोर पर वायरलेस कंट्रोलर पर (या क्लाउड WLC के माध्यम से केंद्रीय रूप से), तीन प्रवर्तन नीतियां बनाएं: (1) यदि Class = POS-Staff, तो Tunnel-Private-Group-ID = 40 असाइन करें (POS VLAN, जो PCI-DSS के दायरे में है और जिसमें केवल भुगतान प्रोसेसर तक पहुंच को प्रतिबंधित करने वाले फ़ायरवॉल नियम हैं)। (2) यदि Class = Inventory-Staff, तो Tunnel-Private-Group-ID = 50 असाइन करें (इवेंट्री VLAN, जो PCI के दायरे से बाहर है)। (3) यदि Class = Store-Management, तो Tunnel-Private-Group-ID = 60 असाइन करें (स्टोर प्रबंधन प्रणालियों तक पहुंच के साथ प्रबंधन VLAN)। POS-Staff समूह में उपयोगकर्ता के क्रेडेंशियल के साथ जुड़ने वाले डिवाइस स्वचालित रूप से VLAN 40 पर रख दिए जाते हैं। यदि किसी स्टोर सहयोगी की भूमिका बदलती है, तो उनकी Okta समूह सदस्यता को अपडेट करने से अगले कनेक्शन पर तुरंत उनका VLAN असाइनमेंट बदल जाता है — किसी WLC पुन: कॉन्फ़िगरेशन की आवश्यकता नहीं होती है। PCI-DSS QSA ऑडिट के लिए नेटवर्क सेगमेंटेशन आरेख में Okta समूह-से-VLAN मैपिंग का दस्तावेजीकरण करें।

परीक्षक की टिप्पणी: यह कार्यान्वयन सीधे PCI-DSS 4.0 आवश्यकता 1.3 (नेटवर्क सेगमेंटेशन) और आवश्यकता 7 (व्यावसायिक आवश्यकता के आधार पर एक्सेस नियंत्रण) को पूरा करता है। महत्वपूर्ण अंतर्दृष्टि यह है कि VLAN असाइनमेंट पहचान द्वारा संचालित होता है, न कि डिवाइस MAC पते या स्थिर VLAN कॉन्फ़िगरेशन द्वारा — जिसका अर्थ है कि यह प्रति-स्टोर VLAN नीति रखरखाव के बिना 320 स्टोरों में स्केल करता है। QSA यह सबूत देखना चाहेगा कि POS VLAN वास्तव में अन्य नेटवर्क सेगमेंट से अलग है, इसलिए WLC और फ़ायरवॉल कॉन्फ़िगरेशन को VLAN सीमाओं को प्रतिबिंबित करना चाहिए। Okta का सिस्टम लॉग PCI-DSS आवश्यकता 10 (लॉगिंग और निगरानी) द्वारा आवश्यक प्रमाणीकरण ऑडिट ट्रेल प्रदान करता है। एक महत्वपूर्ण चेतावनी: यदि POS डिवाइस अप्रबंधित या साझा हैं (यानी, किसी विशिष्ट उपयोगकर्ता को असाइन नहीं किए गए हैं), तो 802.1X के बजाय उन उपकरणों के लिए MAC Authentication Bypass (MAB) का उपयोग करने पर विचार करें, जिसमें Okta RADIUS का उपयोग केवल उपयोगकर्ता-प्रमाणित उपकरणों के लिए किया जाता है।

अभ्यास प्रश्न

Q1. एक मध्यम आकार का सम्मेलन केंद्र सभी कर्मचारियों के पहचान प्रबंधन के लिए Okta का उपयोग करता है। वे अपने मौजूदा Cisco Meraki एक्सेस पॉइंट का उपयोग करके कर्मचारियों के लिए 802.1X WiFi तैनात करना चाहते हैं। उनके Windows लैपटॉप Microsoft Intune के माध्यम से प्रबंधित किए जाते हैं। IT प्रबंधक सभी WiFi कनेक्शनों के लिए Okta Verify पुश MFA लागू करना चाहता है। वे तीन सबसे महत्वपूर्ण कॉन्फ़िगरेशन चरण कौन से हैं जिन्हें उन्हें पूरा करना होगा, और यदि वे उनमें से किसी को भी छोड़ देते हैं तो सबसे संभावित विफलता मोड क्या है?

संकेत: Okta RADIUS और Windows डिफ़ॉल्ट के बीच EAP प्रोटोकॉल संगतता, RADIUS टाइमआउट सेटिंग, और क्लाइंट वायरलेस प्रोफ़ाइल कॉन्फ़िगरेशन पर विचार करें।

मॉडल उत्तर देखें

तीन महत्वपूर्ण चरण हैं: (1) Intune के माध्यम से एक वायरलेस प्रोफ़ाइल तैनात करें जो Windows क्लाइंट को आंतरिक विधि के रूप में PAP के साथ EAP-TTLS का उपयोग करने के लिए कॉन्फ़िगर करती है — Windows डिफ़ॉल्ट रूप से PEAP-MSCHAPv2 पर सेट होता है, जिसे Okta RADIUS एजेंट समर्थित नहीं करता है, जिससे सभी प्रमाणीकरण प्रयास अस्वीकृत हो जाते हैं। (2) Cisco Meraki RADIUS टाइमआउट को डिफ़ॉल्ट 5 सेकंड से बढ़ाकर कम से कम 45-60 सेकंड करें — इसके बिना, उपयोगकर्ता द्वारा Okta Verify पुश नोटिफिकेशन को स्वीकृत करने से पहले प्रमाणीकरण अनुरोध टाइम आउट हो जाएगा। (3) Okta RADIUS एप्लिकेशन की Advanced RADIUS Settings में 'Permit Automatic Push for Okta Verify Enrolled Users' को सक्षम करें — इसके बिना, उपयोगकर्ताओं को स्वचालित पुश प्राप्त करने के बजाय मैन्युअल रूप से अपने MFA कारक का चयन करने के लिए प्रेरित किया जा सकता है। यदि चरण 1 को छोड़ दिया जाता है, तो सबसे संभावित विफलता मोड सभी Windows उपकरणों के लिए पूर्ण प्रमाणीकरण विफलता है। यदि चरण 2 को छोड़ दिया जाता है, तो उन उपयोगकर्ताओं के लिए प्रमाणीकरण रुक-रुक कर विफल होगा जो पुश को स्वीकृत करने में 5 सेकंड से अधिक का समय लेते हैं। यदि चरण 3 को छोड़ दिया जाता है, तो उपयोगकर्ताओं को एक सहज पुश नोटिफिकेशन के बजाय एक भ्रमित करने वाली चुनौती संकेत का अनुभव होगा।

Q2. एक बड़ी खुदरा श्रृंखला की सुरक्षा टीम ने संकेत दिया है कि उनकी वर्तमान Okta RADIUS WiFi तैनाती एकल RADIUS एजेंट सर्वर का उपयोग करती है। हाल ही में एक पैचिंग विंडो के दौरान, सर्वर 45 मिनट के लिए ऑफ़लाइन था, जिससे सभी 80 स्टोरों में WiFi प्रमाणीकरण विफल हो गया। IT टीम को इसे रोकने के लिए क्या आर्किटेक्चरल बदलाव लागू करने चाहिए, और एजेंटों के लिए दो तैनाती विकल्प क्या हैं?

संकेत: रेडंडेंसी का समर्थन करने के लिए आवश्यक एजेंट तैनाती टोपोलॉजी और WLC कॉन्फ़िगरेशन दोनों पर विचार करें।

मॉडल उत्तर देखें

IT टीम को कम से कम दो Okta RADIUS एजेंट इंस्टेंस तैनात करने चाहिए और प्रत्येक स्टोर पर WLC को दोनों एजेंटों का उपयोग करने के लिए कॉन्फ़िगर करना चाहिए। दो तैनाती विकल्प हैं: विकल्प A (केंद्रीकृत क्लाउड VMs) — दोनों एजेंटों को एक क्लाउड VPC (जैसे, AWS या Azure) में तैनात करें, आदर्श रूप से विभिन्न उपलब्धता क्षेत्रों में। प्रत्येक स्टोर पर WLC दोनों क्लाउड IP की ओर इशारा करता है, जिसमें एक प्राथमिक के रूप में और एक द्वितीयक के रूप में (या लोड बैलेंसिंग सक्षम के साथ) होता है। यह प्रति-साइट बुनियादी ढांचे को कम करता है लेकिन WAN निर्भरता पेश करता है। विकल्प B (ऑन-प्रिमाइसेस रेडंडेंट पेअर) — एक केंद्रीय डेटा केंद्र या को-लोकेशन सुविधा पर दो एजेंट सर्वर तैनात करें, जिसमें WLC, RADIUS फ़ेलओवर का उपयोग करता है। WLC पर, प्राथमिक RADIUS सर्वर को Agent 1 के रूप में और द्वितीयक को Agent 2 के रूप में कॉन्फ़िगर करें, जिसमें 3-5 सेकंड का फ़ेलओवर टाइमआउट हो। यदि WLC विक्रेता द्वारा समर्थित हो, तो 'Dead Server Detection' सक्षम करें। इसके अतिरिक्त, IT टीम को Okta एडमिन कंसोल में स्वास्थ्य निगरानी कॉन्फ़िगर करनी चाहिए और यदि कोई एजेंट ऑफ़लाइन हो जाता है तो अलर्ट सेट करना चाहिए। स्थानीय सर्वर वाले स्टोर के लिए, एक स्थानीय एजेंट WAN आउटेज के खिलाफ लचीलेपन के लिए एक तृतीयक फ़ॉलबैक के रूप में कार्य कर सकता है।

Q3. एक उद्यम संगठन इस बात का मूल्यांकन कर रहा है कि क्या अपने कॉर्पोरेट WiFi के लिए EAP-TTLS/PAP के साथ Okta RADIUS एजेंट का उपयोग किया जाए या EAP-TLS के लिए क्लाउड PKI समाधान में निवेश किया जाए। उनके पास Microsoft Intune में नामांकित 2,000 प्रबंधित Windows और macOS डिवाइस हैं, और वे PCI-DSS 4.0 के अधीन हैं। अनुशंसित दृष्टिकोण क्या है और प्राथमिक सुरक्षा औचित्य क्या है?

संकेत: PCI-DSS आवश्यकताओं, डिवाइस प्रबंधन परिपक्वता (सभी डिवाइस MDM-नामांकित हैं), और प्रत्येक प्रमाणीकरण विधि के सुरक्षा गुणों पर विचार करें।

मॉडल उत्तर देखें

अनुशंसित दृष्टिकोण क्लाउड PKI समाधान के साथ EAP-TLS में निवेश करना है। प्राथमिक सुरक्षा औचित्य पारस्परिक प्रमाणीकरण है: EAP-TLS के लिए क्लाइंट और RADIUS सर्वर दोनों को डिजिटल प्रमाणपत्र प्रस्तुत करने की आवश्यकता होती है, जिसका अर्थ है कि डिवाइस नेटवर्क के लिए अपनी पहचान को क्रिप्टोग्राफ़िक रूप से साबित करता है और नेटवर्क डिवाइस के लिए अपनी पहचान साबित करता है। यह evil twin हमलों (जहां एक दुष्ट AP कॉर्पोरेट SSID का रूप धारण करता है) के जोखिम को समाप्त करता है और WiFi प्रमाणीकरण समीकरण से पासवर्ड को पूरी तरह से हटा देता है, जिससे क्रेडेंशियल चोरी और फ़िशिंग हमले के माध्यम के रूप में समाप्त हो जाते हैं। PCI-DSS 4.0 के लिए, EAP-TLS प्रमाणपत्र-आधारित प्रमाणीकरण के माध्यम से अंतर्निहित रूप से आवश्यकता 8.3 (गैर-कंसोल व्यवस्थापक पहुंच के लिए MFA) को पूरा करता है, और यह WPA3-Enterprise 192-बिट मोड (मजबूत क्रिप्टोग्राफी के लिए आवश्यकता 4.2.1) का समर्थन करता है। पूर्वापेक्षा — Intune में नामांकित सभी 2,000 डिवाइस — पहले से ही पूरी हो चुकी है, जिससे Intune SCEP प्रोफाइल के माध्यम से प्रमाणपत्र वितरण सीधा हो जाता है। PKI निर्माण के दौरान EAP-TTLS/PAP के साथ Okta RADIUS एजेंट एक स्वीकार्य अंतरिम समाधान होगा, लेकिन PCI-DSS दायरे और पूरी तरह से प्रबंधित डिवाइस संपत्ति को देखते हुए, EAP-TLS सही दीर्घकालिक आर्किटेक्चर है। क्लाउड PKI सेवा में अतिरिक्त निवेश (आमतौर पर प्रति डिवाइस प्रति वर्ष $3-8) सुरक्षा उत्थान और कम क्रेडेंशियल प्रबंधन ओवरहेड द्वारा उचित है।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Grandstream GWN एक्सेस पॉइंट्स का एकीकरण

यह आधिकारिक तकनीकी संदर्भ मार्गदर्शिका विस्तार से बताती है कि Grandstream GWN एक्सेस पॉइंट्स को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। इसमें Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, वॉल्ड गार्डन सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल हैं - जो बड़े पैमाने पर गेस्ट और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

गाइड पढ़ें →

Cisco WLC और Catalyst एकीकरण: चरण-दर-चरण अतिथि एक्सेस गाइड

यह गाइड Cisco WLC और Catalyst 9800 वायरलेस के Purple के साथ चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक स्थानों में Cisco इन्फ्रास्ट्रक्चर को लागू करने वाले एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखा गया है।

गाइड पढ़ें →

Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर इंटीग्रेशन

यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण इंटीग्रेशन प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क (Identity-Based Network) बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।

गाइड पढ़ें →