802.1X Supplicant क्या है? क्लाइंट के प्रकार और डिवाइस कॉन्फ़िगरेशन
यह गाइड एंटरप्राइज WiFi ऑथेंटिकेशन में 802.1X supplicant की भूमिका के बारे में बताती है। इसमें टेक्निकल आर्किटेक्चर शामिल है, नेटिव OS supplicants की तुलना थर्ड-पार्टी क्लाइंट्स से की गई है, और EAP-TLS व PEAP को लागू करने वाली IT टीमों के लिए व्यावहारिक कॉन्फ़िगरेशन गाइडेंस प्रदान किया गया है।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
- कार्यकारी सारांश (Executive Summary)
- गहन तकनीकी विश्लेषण (Deep Tech Dive)
- 802.1X के तीन घटक
- EAP विधियां: Supplicant की भाषा
- इम्प्लीमेंटेशन गाइड
- नेटिव OS सप्लिकेंट्स
- थर्ड-पार्टी सप्लिकेंट सॉफ्टवेयर
- सर्वर सर्टिफिकेट वैलिडेशन कॉन्फ़िगर करना
- सर्वश्रेष्ठ अभ्यास (Best Practices)
- ट्रबलशूटिंग और जोखिम न्यूनीकरण
- ROI और व्यावसायिक प्रभाव

कार्यकारी सारांश (Executive Summary)
जब कोई डिवाइस किसी एंटरप्राइज नेटवर्क से कनेक्ट होता है, तो 802.1X supplicant वह सॉफ़्टवेयर घटक है जो अपनी पहचान साबित करने के लिए ज़िम्मेदार होता है। बड़े स्थानों पर IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, बिना हेल्पडेस्क टिकट जनरेट किए सुरक्षित नेटवर्क एक्सेस सुनिश्चित करने के लिए supplicant कैसे काम करता है, यह समझना अत्यंत महत्वपूर्ण है। यह गाइड IEEE 802.1X ऑथेंटिकेशन में डिवाइस-साइड एजेंट को सरल बनाती है, और नेटिव OS क्षमताओं की तुलना थर्ड-पार्टी supplicant सॉफ़्टवेयर से करती है। हम यह जांच करेंगे कि EAP-TLS और PEAP-MSCHAPv2 के लिए supplicants को कैसे कॉन्फ़िगर किया जाए, हॉस्पिटैलिटी और रिटेल में वास्तविक दुनिया के परिनियोजन (deployment) परिदृश्यों का पता लगाएंगे, और यह विवरण देंगे कि उचित supplicant कॉन्फ़िगरेशन कैसे एक्सेस को अनुकूलित करने के लिए Identity-Based Networks के साथ एकीकृत होता है। चाहे आप 200 कमरों वाला होटल प्रबंधित करते हों या 80,000 से अधिक सीटों वाला एक सक्रिय स्थान, सही supplicant कॉन्फ़िगरेशन सुरक्षित, विश्वसनीय WiFi बनाने का एक मुख्य आधार है।
गहन तकनीकी विश्लेषण (Deep Tech Dive)
IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल को परिभाषित करता है। यह एक सरल सिद्धांत पर काम करता है: नेटवर्क किनारे पर सभी ट्रैफ़िक को तब तक ब्लॉक करें जब तक कि कोई डिवाइस अपनी पहचान साबित न कर दे। supplicant इस प्रक्रिया में क्लाइंट-साइड का हिस्सा होता है।
802.1X के तीन घटक
ऑथेंटिकेशन के लिए तीन अलग-अलग संस्थाओं की आवश्यकता होती है:
- Supplicant: क्लाइंट डिवाइस (लैपटॉप, स्मार्टफोन, या टैबलेट) जो नेटवर्क एक्सेस का अनुरोध कर रहा है।
- Authenticator: नेटवर्क एक्सेस डिवाइस, जैसे कि Cisco Meraki, HPE Aruba, Ruckus, या Juniper Mist एक्सेस पॉइंट।
- Authentication Server: RADIUS सर्वर जो Microsoft Entra ID या Okta जैसे पहचान प्रदाता के खिलाफ क्रेडेंशियल्स को सत्यापित करता है।
ऑथेंटिकेशन से पहले, authenticator का पोर्ट एक अनधिकृत (unauthorised) स्थिति में होता है, जो केवल Extensible Authentication Protocol over LAN (EAPOL) ट्रैफ़िक की अनुमति देता है। supplicant एक EAPOL-Start फ्रेम के साथ प्रक्रिया शुरू करता है। authenticator पहचान का अनुरोध करता है, और supplicant प्रतिक्रिया देता है। इस पहचान को RADIUS सर्वर पर भेज दिया जाता है, जो उपयोग की जाने वाली EAP विधि निर्धारित करता है। सफल सत्यापन पर, RADIUS सर्वर एक Access-Accept संदेश भेजता है, पोर्ट एक अधिकृत (authorised) स्थिति में बदल जाता है, और डिवाइस को आम तौर पर एक विशिष्ट VLAN में असाइन किया जाता है।

EAP विधियां: Supplicant की भाषा
supplicant और RADIUS सर्वर को एक Extensible Authentication Protocol (EAP) विधि पर सहमत होना चाहिए। EAP विधि का विकल्प सुरक्षा स्थिति और supplicant पर कॉन्फ़िगरेशन के बोझ को तय करता है।
EAP-TLS (Transport Layer Security) EAP-TLS के लिए सर्टिफिकेट-आधारित म्यूचुअल ऑथेंटिकेशन की आवश्यकता होती है। सप्लिकेंट अपनी पहचान साबित करने के लिए एक क्लाइंट सर्टिफिकेट प्रदान करता है, और RADIUS सर्वर नेटवर्क की वैधता साबित करने के लिए एक सर्वर सर्टिफिकेट प्रदान करता है। यह पासवर्ड-रहित तरीका क्रेडेंशियल चोरी को समाप्त करता है और NIST SP 800-171 जैसे सख्त सुरक्षा फ्रेमवर्क द्वारा आवश्यक है। सप्लिकेंट को जारी करने वाले सर्टिफिकेट अथॉरिटी (CA) पर भरोसा करने के लिए कॉन्फ़िगर किया जाना चाहिए और उसके पास एक वैध क्लाइंट सर्टिफिकेट होना चाहिए।
PEAP (Protected EAP) उन परिदृश्यों में जहां एक पूर्ण पब्लिक की इन्फ्रास्ट्रक्चर (PKI) संभव नहीं है, PEAP का व्यापक रूप से उपयोग किया जाता है। यह एक सुरक्षित TLS टनल के भीतर एक आंतरिक ऑथेंटिकेशन विधि (आमतौर पर MSCHAPv2) को समाहित करता है। RADIUS सर्वर एक सर्टिफिकेट प्रदान करता है, लेकिन सप्लिकेंट को केवल एक यूज़रनेम और पासवर्ड प्रदान करने की आवश्यकता होती है। हालांकि PEAP को लागू करना आसान है, लेकिन यदि सप्लिकेंट को सर्वर सर्टिफिकेट को मान्य करने के लिए सख्ती से कॉन्फ़िगर नहीं किया गया है, तो यह क्रेडेंशियल हार्वेस्टिंग के प्रति बेहद संवेदनशील होता है।
इम्प्लीमेंटेशन गाइड
802.1X को तैनात करते समय, IT टीमों को ऑपरेटिंग सिस्टम में निर्मित नेटिव सप्लिकेंट का उपयोग करने या थर्ड-पार्टी सप्लिकेंट सॉफ्टवेयर को तैनात करने के बीच निर्णय लेना होगा।
नेटिव OS सप्लिकेंट्स
प्रत्येक आधुनिक ऑपरेटिंग सिस्टम में एक नेटिव 802.1X सप्लिकेंट शामिल होता है। Windows, Wired AutoConfig और WLAN AutoConfig सेवाओं का उपयोग करता है। Apple डिवाइस Network Profiles का उपयोग करते हैं। Android इसे सेटिंग्स के भीतर एकीकृत करता है।
नेटिव सप्लिकेंट्स प्रबंधित फ़्लीट के लिए आदर्श हैं। Microsoft Intune या Jamf जैसे मोबाइल डिवाइस मैनेजमेंट (MDM) प्लेटफॉर्म का उपयोग करके, IT एडमिन चुपचाप कॉन्फ़िगरेशन प्रोफाइल भेज सकते हैं जो SSID, EAP विधि, विश्वसनीय रूट CA और SCEP के माध्यम से सर्टिफिकेट एनरोलमेंट प्रक्रियाओं को परिभाषित करते हैं। यूज़र एक्सपीरियंस सहज होता है; डिवाइस बैकग्राउंड में ऑथेंटिकेट होता है।
थर्ड-पार्टी सप्लिकेंट सॉफ्टवेयर
थर्ड-पार्टी सप्लिकेंट्स, जैसे कि Cisco AnyConnect Network Access Manager या SecureW2 JoinNow, विशिष्ट परिदृश्यों में आवश्यक हैं:
- प्रोपराइटरी प्रोटोकॉल: Cisco EAP-FAST का उपयोग करने के लिए Cisco सप्लिकेंट की आवश्यकता होती है।
- BYOD ऑनबोर्डिंग: थर्ड-पार्टी टूल अक्सर ऑनबोर्डिंग विज़ार्ड के रूप में कार्य करते हैं, जो यूज़र्स को अनमैनेज्ड डिवाइसेस पर सर्टिफिकेट इंस्टॉल करने के लिए मार्गदर्शन करते हैं जहाँ नेटिव कॉन्फ़िगरेशन जटिल है (विशेष रूप से विखंडित Android वातावरण में)।
- सख्त कॉन्फ़िगरेशन नियंत्रण: थर्ड-पार्टी सप्लिकेंट्स सेटिंग्स को लॉक कर सकते हैं, जिससे यूज़र्स सर्वर सर्टिफिकेट वैलिडेशन को अक्षम नहीं कर पाते हैं।

सर्वर सर्टिफिकेट वैलिडेशन कॉन्फ़िगर करना
चुने गए सप्लिकेंट के बावजूद, सर्वर सर्टिफिकेट वैलिडेशन को कॉन्फ़िगर करना महत्वपूर्ण है, विशेष रूप से PEAP के लिए। यदि सप्लिकेंट RADIUS सर्वर के सर्टिफिकेट को सत्यापित नहीं करता है, तो यह आपके SSID की नकल करने वाले किसी दुष्ट एक्सेस पॉइंट को आँख बंद करके क्रेडेंशियल भेज देगा।Windows में, इसका अर्थ है PEAP प्रॉपर्टीज़ में "Verify the server's identity by validating the certificate" को टिक करना, Trusted Root Certification Authority (Root CA) को चुनना, और उन सटीक सर्वर नामों को निर्दिष्ट करना जिनकी क्लाइंट को अपेक्षा होनी चाहिए। Apple डिवाइसेज पर, कॉन्फ़िगरेशन प्रोफाइल में स्पष्ट रूप से विश्वसनीय सर्टिफिकेट्स की सूची होनी चाहिए।
सर्वश्रेष्ठ अभ्यास (Best Practices)
- सर्वर वैलिडेशन लागू करें: PEAP को डिप्लॉय करते समय, RADIUS सर्वर सर्टिफिकेट को वैलिडेट करने के लिए सप्लिकेंट्स को कॉन्फ़िगर किए बिना ऐसा कभी न करें। यह "ईविल ट्विन" हमलों के खिलाफ सुरक्षा की प्राथमिक पंक्ति है।
- सर्टिफिकेट लाइफसाइकल को ऑटोमेट करें: EAP-TLS का उपयोग करते समय, SCEP या NDES का उपयोग करके MDM के माध्यम से क्लाइंट सर्टिफिकेट एनरोलमेंट और रिन्यूअल को ऑटोमेट करें। मैन्युअल सर्टिफिकेट मैनेजमेंट बड़े पैमाने पर काम नहीं करता है और इससे अचानक ऑथेंटिकेशन फेल्योर हो सकते हैं।
- पहचान के आधार पर अलग करें: वैलिडेटेड पहचान के आधार पर VLANs असाइन करने के लिए RADIUS एट्रिब्यूट्स का उपयोग करें। कर्मचारी डिवाइसेज और POS टर्मिनल्स को एक ही SSID पर ऑथेंटिकेट होना चाहिए, लेकिन उन्हें बिल्कुल अलग VLANs पर भेजा जाना चाहिए।
- IoT के लिए योजना बनाएं: अधिकांश IoT डिवाइसेज में 802.1X सप्लिकेंट्स नहीं होते हैं। इन डिवाइसेज के लिए, MAC Address Bypass (MAB) का उपयोग करें, लेकिन सुनिश्चित करें कि वे एक समर्पित IoT VLAN पर पूरी तरह से आइसोलेटेड हों।
ट्रबलशूटिंग और जोखिम न्यूनीकरण
जब कोई डिवाइस कनेक्ट होने में विफल रहता है, तो समस्या लगभग हमेशा क्लाइंट कॉन्फ़िगरेशन या सर्टिफिकेट चेन के भीतर होती है।
- "Connected, No Internet": यह आमतौर पर VLAN असाइनमेंट फेल्योर या ऑथेंटिकेशन के बाद की DHCP समस्याओं की ओर इशारा करता है। यह सत्यापित करने के लिए RADIUS लॉग्स की जांच करें कि Access-Accept मैसेज में सही Tunnel-Private-Group-Id मौजूद है।
- Windows 11 पर साइलेंट फेल्योर्स: हाल के Windows 11 फीचर अपडेट्स (जैसे कि 24H2) ने यह बदल दिया है कि नेटिव सप्लिकेंट EAP-TLS फॉलबैक को कैसे संभालता है। व्यापक रूप से डिप्लॉय करने से पहले हमेशा नए OS बिल्ड्स के खिलाफ प्रोफाइल्स का परीक्षण करें।
- सर्टिफिकेट की समाप्ति (Expiry): यदि डिवाइसेज का एक बैच अचानक ऑफलाइन हो जाता है, तो क्लाइंट सर्टिफिकेट्स की वैलिडिटी अवधि की जांच करें। सुनिश्चित करें कि आपका MDM समाप्त होने से पहले उन्हें सफलतापूर्वक रिन्यू कर देता है।
ROI और व्यावसायिक प्रभाव
सही ढंग से कॉन्फ़िगर किए गए सप्लिकेंट्स के साथ 802.1X पर माइग्रेट करना मापने योग्य व्यावसायिक मूल्य प्रदान करता है। शेयर्ड पासवर्ड्स (Pre-Shared Keys/PSK) को समाप्त करके, आप कर्मचारियों के कंपनी छोड़ने पर पासवर्ड बदलने केरेशनल ओवरहेड को पूरी तरह से हटा देते हैं। EAP-TLS पर स्विच करने से पासवर्ड-रीसेट टिकट्स पूरी तरह से समाप्त हो सकते हैं, जिससे सर्विस डेस्क के लिए महत्वपूर्ण उत्पादकता के घंटे बचते हैं।
इसके अलावा, 802.1X एक ही SSID पर पहचान-आधारित नेटवर्क आइसोलेशन को सक्षम बनाता है। Guest WiFi , स्टाफ और ऑपरेशन्स के लिए अलग-अलग नेटवर्क्स ब्रॉडकास्ट करने के बजाय, एक सिंगल SSID क्लाइंट क्रेडेंशियल्स के आधार पर ट्रैफ़िक को सुरक्षित रूप से रूट कर सकता है। यह चैनल इंटरफेरेंस को कम करता है और समग्र नेटवर्क परफॉर्मेंस में सुधार करता है, जो सीधे हार्डवेयर-एग्नोस्टिक नेटवर्क मैनेजमेंट के लिए Purple के क्लाउड ओवरले दृष्टिकोण का समर्थन करता है। अधिक गहन विश्लेषणात्मक अंतर्दृष्टि के लिए, हमारे WiFi Analytics फीचर को एक्सप्लोर करें।
मुख्य परिभाषाएं
802.1X Supplicant
क्लाइंट डिवाइस पर वह सॉफ़्टवेयर घटक जो IEEE 802.1X सुरक्षित नेटवर्क में शामिल होने के लिए आवश्यक ऑथेंटिकेशन प्रक्रिया को संभालता है।
IT टीमें यह परिभाषित करने के लिए supplicant को कॉन्फ़िगर करती हैं कि कोई डिवाइस नेटवर्क पर अपनी पहचान कैसे साबित करता है।
Authenticator
वह नेटवर्क डिवाइस (स्विच या एक्सेस पॉइंट) जो तब तक ट्रैफ़िक को ब्लॉक करता है जब तक कि supplicant सफलतापूर्वक ऑथेंटिकेट न हो जाए।
Cisco Meraki या HPE Aruba जैसे वेंडर्स के हार्डवेयर authenticator के रूप में कार्य करते हैं, जो डिवाइस और सर्वर के बीच संदेशों को रिले करते हैं।
RADIUS
रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस। वह सर्वर जो supplicant द्वारा प्रदान किए गए क्रेडेंशियल्स को सत्यापित करता है।
RADIUS सर्वर एक्सेस प्रदान करने से पहले Okta या Microsoft Entra ID जैसी डायरेक्टरीज़ के साथ पहचान की जांच करता है।
EAP-TLS
एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल विद ट्रांसपोर्ट लेयर सिक्योरिटी। एक ऑथेंटिकेशन विधि जिसके लिए क्लाइंट और सर्वर दोनों डिजिटल सर्टिफिकेट की आवश्यकता होती है।
एंटरप्राइज नेटवर्क के लिए सबसे सुरक्षित तरीका माना जाता है, जो पासवर्ड की आवश्यकता को समाप्त करता है।
PEAP
प्रोटेक्टेड एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल। एक ऑथेंटिकेशन विधि जो पासवर्ड-आधारित ऑथेंटिकेशन को सुरक्षित रखने के लिए एक सुरक्षित TLS टनल बनाती है।
आमतौर पर BYOD परिवेशों में उपयोग किया जाता है जहाँ अप्रबंधित डिवाइसों पर क्लाइंट सर्टिफिकेट तैनात करना बहुत जटिल होता है।
EAPOL
LAN पर एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल। सप्लीकेंट और ऑथेंटिकेटर के बीच EAP संदेशों को संपुटित करने के लिए उपयोग किया जाने वाला प्रोटोकॉल।
ऑथेंटिकेशन से पहले, EAPOL ही एकमात्र ऐसा ट्रैफ़िक प्रकार है जिसे authenticator पोर्ट के माध्यम से जाने की अनुमति देता है।
MAC Authentication Bypass (MAB)
एक फ़ॉलबैक ऑथेंटिकेशन विधि जहां नेटवर्क डिवाइस के MAC एड्रेस का उपयोग उसकी पहचान के रूप में करता है।
उन प्रिंटर, कैमरा और IoT उपकरणों के लिए उपयोग किया जाता है जिनमें 802.1X सप्लीकेंट की कमी होती है।
VLAN Assignment
एक ऑथेंटिकेटेड डिवाइस को गतिशील रूप से एक विशिष्ट वर्चुअल नेटवर्क सेगमेंट पर रखने की प्रक्रिया।
RADIUS सर्वर सप्लीकेंट की पहचान के आधार पर ऑथेंटिकेटर को बताता है कि कौन सा VLAN असाइन करना है।
हल किए गए उदाहरण
एक 200 कमरों वाले होटल को अपने स्टाफ नेटवर्क को सुरक्षित करने की आवश्यकता है। वर्तमान में वे साझा पासवर्ड वाले WPA2-Personal का उपयोग कर रहे हैं, और वे 802.1X पर जाना चाहते हैं। स्टाफ शेड्यूलिंग के लिए कंपनी के स्वामित्व वाले Windows लैपटॉप और व्यक्तिगत Android फोन के मिश्रण का उपयोग करता है। उन्हें supplicants को कैसे कॉन्फ़िगर करना चाहिए?
हॉटेल को एक हाइब्रिड दृष्टिकोण अपनाना चाहिए। कंपनी के Windows लैपटॉप के लिए, उन्हें Microsoft Intune के माध्यम से कॉन्फ़िगर किए गए नेटिव Windows supplicant का उपयोग करना चाहिए। MDM प्रोफ़ाइल को EAP-TLS सेटिंग्स को आगे बढ़ाना चाहिए, Root CA इंस्टॉल करना चाहिए, और SCEP के माध्यम से क्लाइंट सर्टिफिकेट एनरोलमेंट को ऑटोमेट करना चाहिए। व्यक्तिगत Android फोन के लिए, उन्हें एक सेल्फ-सर्विस पोर्टल के माध्यम से एक थर्ड-पार्टी ऑनबोर्डिंग एजेंट (जैसे SecureW2) तैनात करना चाहिए। स्टाफ सदस्य अपने Microsoft Entra ID क्रेडेंशियल्स का उपयोग करके पोर्टल में लॉग इन करता है, और एजेंट स्वचालित रूप से PEAP-MSCHAPv2 के लिए नेटिव Android supplicant को कॉन्फ़िगर करता है, जिससे सर्वर सर्टिफिकेट वैलिडेशन लॉक होना सुनिश्चित होता है।
50 स्टोर वाली एक बड़ी रिटेल चेन नए मोबाइल पॉइंट-ऑफ-सेल (POS) टैबलेट लॉन्च कर रही है। PCI DSS के लिए कड़े नेटवर्क आइसोलेशन की आवश्यकता है। supplicant कॉन्फ़िगरेशन को अनुपालन कैसे सुनिश्चित करना चाहिए?
टैबलेट को MDM के माध्यम से प्रबंधित किया जाना चाहिए। MDM एक नेटिव supplicant कॉन्फ़िगरेशन प्रोफ़ाइल को आगे बढ़ाता है जो EAP-TLS को लागू करती है। प्रत्येक टैबलेट को एक विशिष्ट क्लाइंट सर्टिफिकेट प्राप्त होता है जिसमें एक विशेषता (एट्रीब्यूट) होती है जो इसे POS डिवाइस के रूप में पहचानती है। जब टैबलेट का supplicant ऑथेंटिकेट करता है, तो RADIUS सर्वर इस विशेषता को पढ़ता है और विशेष रूप से PCI-अनुरूप नेटवर्क सेगमेंट के लिए एक VLAN असाइनमेंट लौटाता है। supplicant कॉन्फ़िगरेशन को लॉक किया जाना चाहिए ताकि स्टोर का स्टाफ नेटवर्क सेटिंग्स में बदलाव न कर सके।
अभ्यास प्रश्न
Q1. आपका संगठन एक नए स्टाफ BYOD नेटवर्क के लिए PEAP-MSCHAPv2 तैनात कर रहा है। परीक्षण के दौरान, आप देखते हैं कि डिवाइस उसी SSID को प्रसारित करने वाले एक परीक्षण एक्सेस पॉइंट से जुड़ सकते हैं, भले ही वह आपके RADIUS सर्वर से कनेक्ट न हो। कौन सा सप्लीकेंट कॉन्फ़िगरेशन चरण छूट गया था?
संकेत: विचार करें कि MSCHAPv2 क्रेडेंशियल भेजने से पहले सप्लीकेंट नेटवर्क की पहचान को कैसे सत्यापित करता है।
मॉडल उत्तर देखें
सप्लीकेंट को सर्वर प्रमाणपत्र को मान्य करने के लिए कॉन्फ़िगर नहीं किया गया था। PEAP में, सप्लीकेंट को उस विशिष्ट रूट CA पर भरोसा करने के लिए स्पष्ट रूप से कॉन्फ़िगर किया जाना चाहिए जिसने RADIUS सर्वर का प्रमाणपत्र जारी किया है, और सर्वर के डोमेन नाम को सत्यापित करना चाहिए। इसके बिना, सप्लीकेंट प्रमाणपत्र प्रस्तुत करने वाले किसी भी सर्वर के साथ एक TLS टनल स्थापित करेगा, जिससे उपयोगकर्ता के क्रेडेंशियल एक दुर्भावनापूर्ण एक्सेस पॉइंट के सामने उजागर हो जाएंगे।
Q2. एक विश्वविद्यालय अपने प्रबंधित Windows लैपटॉप बेड़े को PEAP से EAP-TLS पर माइग्रेट कर रहा है। वे MDM के माध्यम से नया कॉन्फ़िगरेशन प्रोफ़ाइल पुश करते हैं, लेकिन सभी डिवाइस ऑथेंटिकेट होने में विफल रहते हैं। RADIUS लॉग 'EAP-TLS failed SSL/TLS handshake' दिखाते हैं। सबसे संभावित कारण क्या है?
संकेत: EAP-TLS के लिए पारस्परिक ऑथेंटिकेशन की आवश्यकता होती है। क्लाइंट को ऐसी किस चीज़ की आवश्यकता है जिसकी उसे PEAP के लिए आवश्यकता नहीं थी?
मॉडल उत्तर देखें
क्लाइंट डिवाइस में एक वैध क्लाइंट प्रमाणपत्र की कमी है। EAP-TLS के लिए आवश्यक है कि सप्लीकेंट RADIUS सर्वर को एक प्रमाणपत्र प्रस्तुत करे। MDM प्रोफ़ाइल को न केवल EAP विधि को TLS पर सेट करने के लिए कॉन्फ़िगर किया जाना चाहिए, बल्कि ऑथेंटिकेशन का प्रयास करने से पहले संगठन के PKI से क्लाइंट प्रमाणपत्र का अनुरोध करने और इंस्टॉल करने के लिए SCEP जैसे प्रोटोकॉल को ट्रिगर करने के लिए भी किया जाना चाहिए।
Q3. आपको एक [Healthcare](/industries/healthcare) परिवेश में नेटवर्क से 50 स्मार्ट टीवी कनेक्ट करने की आवश्यकता है। टीवी केवल WPA2-Personal (प्री-शेयर्ड की) का समर्थन करते हैं और उनके पास 802.1X सप्लीकेंट नहीं है। स्टाफ उपकरणों के लिए 802.1X को बनाए रखते हुए आप उनकी पहुंच को कैसे सुरक्षित करते हैं?
संकेत: यदि डिवाइस EAP पर बात नहीं कर सकता है, तो ऑथेंटिकेटर को दूसरे तरीके से इसकी पहचान करनी होगी।
मॉडल उत्तर देखें
आपको MAC Authentication Bypass (MAB) का उपयोग करना चाहिए। ऑथेंटिकेटर RADIUS सर्वर को भेजे गए यूजरनेम और पासवर्ड के रूप में स्मार्ट टीवी के MAC एड्रेस का उपयोग करेगा। चूंकि MAC एड्रेस को स्पूफ़ किया जा सकता है, इसलिए RADIUS सर्वर को इन उपकरणों को एक अत्यधिक प्रतिबंधित, पृथक IoT VLAN में असाइन करने के लिए कॉन्फ़िगर किया जाना चाहिए जो केवल आवश्यक ट्रैफ़िक की अनुमति देता है।
इस श्रृंखला में आगे पढ़ें
अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन को कॉन्फ़िगर करना
यह तकनीकी संदर्भ गाइड एंटरप्राइज़ अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन के आर्किटेक्चर, कॉन्फ़िगरेशन और डिप्लॉयमेंट की रूपरेखा तैयार करती है। यह नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को सुरक्षित, स्केलेबल वायरलेस एक्सेस कंट्रोल सिस्टम बनाने के लिए आवश्यक सटीक प्रोटोकॉल, सुरक्षा मानक और ट्रबलशूटिंग कार्यप्रणाली प्रदान करती है।
Passpoint और OpenRoaming: संपूर्ण गाइड
यह तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi नेटवर्क के भीतर Passpoint (हॉटस्पॉट 2.0) और WBA OpenRoaming फ्रेमवर्क का एक व्यापक विश्लेषण प्रदान करती है। यह सुरक्षित, निर्बाध अतिथि कनेक्टिविटी स्थापित करने के लिए आवश्यक बुनियादी ऑथेंटिकेशन प्रोटोकॉल, आर्किटेक्चरल घटकों और परिनियोजन रणनीतियों का विवरण देती है। नेटवर्क आर्किटेक्ट और IT लीडर्स सीखेंगे कि कैसे इन मानकों को डिज़ाइन, लागू और ट्रबलशूट किया जाए ताकि एंटरप्राइज़-ग्रेड सुरक्षा बनाए रखते हुए मैनुअल लॉगिन बाधाओं को समाप्त किया जा सके।
उच्च शिक्षा में सुरक्षित BYOD और नेटवर्क नामांकन के लिए SCEP को कैसे लागू करें
यह तकनीकी मार्गदर्शिका नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को उच्च शिक्षा परिसर नेटवर्क को सुरक्षित करने के लिए SCEP-आधारित प्रमाणपत्र नामांकन को तैनात करने के लिए एक वेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करती है। यह विवरण देती है कि पासवर्ड-आधारित PEAP से 802.1X EAP-TLS पर कैसे माइग्रेट करें, BYOD ऑनबोर्डिंग को स्वचालित करें, और मजबूत VLAN सेगमेंटेशन लागू करें।