Active Directory किंवा ऑन-प्रिमाइसेस सर्व्हरशिवाय Enterprise WiFi प्रमाणीकरण

कार्यकारी सारांश (Executive summary)

बहुतांश संस्थांनी त्यांची ओळख (identity) क्लाउडवर स्थलांतरित केली आहे. Microsoft Entra ID, Okta आणि Google Workspace आता ईमेल, SaaS ॲप्स आणि डिव्हाइस मॅनेजमेंटसाठी युजर्स, ग्रुप्स आणि ॲक्सेस पॉलिसी व्यवस्थापित करतात. परंतु एंटरप्राइझ WiFi या वेगाशी जुळवून घेऊ शकलेले नाही. ॲक्सेस पॉइंट्स अजूनही RADIUS सर्व्हरची अपेक्षा करतात, आणि तो RADIUS सर्व्हर ऐतिहासिकदृष्ट्या ऑन-प्रिमाइसेस Active Directory डोमेन कंट्रोलरशी जोडलेला Windows Network Policy Server (NPS) राहिला आहे.

या विसंगतीमुळे IT टीम्सना केवळ WiFi चालू ठेवण्यासाठी निरुपयोगी ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर राखणे भाग पडते. यावर उपाय म्हणजे क्लाउड RADIUS: एक पूर्णपणे व्यवस्थापित ऑथेंटिकेशन सेवा जी तुमच्या ॲक्सेस पॉइंट्सशी RADIUS मध्ये संवाद साधते आणि तुमच्या क्लाउड आयडेंटिटी प्रोव्हाइडरशी OAuth2, SCIM आणि SAML मध्ये संवाद साधते. तुमच्या MDM द्वारे EAP-TLS सर्टिफिकेट वितरणासह याची जोडणी करा, आणि तुमच्याकडे ऑन-प्रिमाइसेस सर्व्हर्स, OS पॅचिंग आणि थेट तुमच्या क्लाउड डिरेक्टरीशी जोडलेल्या तात्काळ ॲक्सेस रिव्होकेशनशिवाय एक संपूर्ण 802.1X डिप्लॉयमेंट तयार होते.

Purple जगभरात ८०,०००+ पेक्षा जास्त ठिकाणी क्लाउड RADIUS ऑपरेट करते, ९९.९९९% अपटाइमसह (Purple अंतर्गत डेटा, २०२४) आणि Microsoft Entra ID, Okta आणि Google Workspace सह नेटिव्ह इंटिग्रेशन्स प्रदान करते. तुम्ही तुमच्या सध्याच्या Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme किंवा Fortinet ॲक्सेस पॉइंट्सवर एका तासापेक्षा कमी वेळात लाईव्ह होऊ शकता.

तांत्रिक सखोल विश्लेषण (Technical deep-dive)

समस्येच्या मुळाशी असलेली प्रोटोकॉल विसंगती

मुख्य आव्हान हे आहे की क्लाउड आयडेंटिटी प्रोव्हाइडर्स आणि WiFi ॲक्सेस पॉइंट्स पूर्णपणे भिन्न भाषा बोलतात. Microsoft Entra ID (पूर्वीचे Azure AD) SAML, OIDC आणि OAuth2 द्वारे युजर्सचे ऑथेंटिकेशन करते - हे असे प्रोटोकॉल्स आहेत जे ब्राउझर आणि SaaS ॲप्स वापरतात. WiFi ॲक्सेस पॉइंट्स RADIUS (Remote Authentication Dial-In User Service, RFC 2865) वापरतात, जो १९९० च्या दशकात डायल-अप आणि VPN साठी डिझाइन केलेला UDP-आधारित प्रोटोकॉल आहे. Microsoft ने Entra ID साठी कधीही नेटिव्ह RADIUS एंडपॉइंट पाठवला नाही. तुम्ही Meraki किंवा Aruba ॲक्सेस पॉइंट थेट Azure कडे निर्देशित करू शकत नाही आणि ८०२.१X काम करेल अशी अपेक्षा करू शकत नाही.

जेव्हा प्रत्येक क्लाउड-फर्स्ट IT टीम स्टाफ WiFi सुरक्षित करण्यासाठी WPA2-Enterprise किंवा WPA3-Enterprise चा वापर करण्याचा प्रयत्न करते, तेव्हा त्यांना या समस्येचा सामना करावा लागतो. ॲक्सेस पॉइंट आणि क्लाउड आयडेंटिटी प्रोव्हाइडरमधील अंतर भरून काढण्यासाठी कशाची तरी गरज असते. ती गोष्ट म्हणजेच क्लाउड RADIUS होय.

Active Directory शिवाय PEAP-MSCHAPv2 का अपयशी ठरते

ऐतिहासिकदृष्ट्या, 802.1X डिप्लॉयमेंट्स PEAP-MSCHAPv2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2) वर अवलंबून होते. युजरने त्यांचे युझरनेम आणि पासवर्ड टाईप केला की, ॲक्सेस पॉइंटने ती विनंती RADIUS सर्व्हरकडे पाठवली, आणि RADIUS सर्व्हरने Active Directory मध्ये सेव्ह केलेल्या NTLM हॅशसह पासवर्डची पडताळणी केली.

Microsoft Entra ID NTLM हॅश स्टोअर करत नाही. ही कॉन्फिगरेशनमधील त्रुटी नाही - हा एक जाणीवपूर्वक घेतलेला आर्किटेक्चरल निर्णय आहे. Entra ID हा आधुनिक क्लाउड आयडेंटिटी प्रोव्हायडर आहे, डोमेन कंट्रोलर नाही. परिणामी, Entra ID कडे निर्देशीत केलेला RADIUS सर्व्हर PEAP-MSCHAPv2 चॅलेंज प्रमाणित करू शकत नाही. Entra ID सोबत PEAP कार्यक्षम करण्याचा एकमेव मार्ग म्हणजे Entra Domain Services उपयोजित करणे, जी Entra ID वरून सिंक्रोनाइझ होणारी एक सशुल्क व्यवस्थापित Active Directory आहे, आणि नंतर त्यावर NPS चालवणे. यामुळे तुम्ही जे काढून टाकू इच्छित होता त्यातील बहुतांश गोष्टी पुन्हा उद्भवतात: Windows Server VMs, OS पॅचिंग, NTLM हॅश स्टोरेज आणि मॅन्युअल प्रमाणपत्र व्यवस्थापन.

EAP-TLS: क्लाउड-फर्स्ट संस्थांसाठी योग्य उत्तर

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security, RFC 5216) पासवर्डऐवजी X.509 डिजिटल प्रमाणपत्रांचा वापर करते. डिव्हाइस RADIUS सर्व्हरला प्रमाणपत्र सादर करते. RADIUS सर्व्हर विश्वसनीय Certificate Authority (CA) कडे प्रमाणपत्राची पडताळणी करतो. या देवाणघेवाणीत पासवर्ड नसल्यामुळे, RADIUS सर्व्हरला NTLM हॅश स्टोअरची आवश्यकता नसते. योग्य VLAN आणि ॲक्सेस पॉलिसी लागू करण्यासाठी त्याला फक्त CA वर विश्वास ठेवणे आणि आयडेंटिटी प्रोव्हायडरमध्ये युझरच्या ग्रुप मेंबरशिपची तपासणी करणे आवश्यक असते.

EAP-TLS हे डिझाइननुसारच फिशिंग-प्रतिरोधक (phishing-resistant) आहे. यात चोरण्यासारखे कोणतेही क्रेडेंशियल नसते. हे फिशिंग-प्रतिरोधक मल्टि-फॅक्टर ऑथेंटिकेशनवरील CISA मार्गदर्शक तत्त्वांचे पालन करते आणि कार्डधारकांचा डेटा हाताळणाऱ्या नेटवर्कवर मजबूत ऑथेंटिकेशनसाठी PCI DSS आवश्यकतांशी सुसंगत आहे. व्यवस्थापित डिव्हाइस फ्लिट्ससाठी (managed device fleets) IEEE 802.1X द्वारे शिफारस केलेली हीच ऑथेंटिकेशन पद्धत आहे.

क्लाउड-फर्स्ट 802.1X ऑथेंटिकेशन आर्किटेक्चर: डिव्हाइसेस Purple च्या क्लाउड RADIUS द्वारे EAP-TLS च्या माध्यमातून ऑथेंटिकेट होतात, जे प्रमाणपत्रांची पडताळणी करते आणि Entra ID, Okta किंवा Google Workspace कडून ग्रुप-आधारित पॉलिसी लागू करते.

MDM हे ऑन-प्रिमाइसेस CA ला कसे रिप्लेस करते

पारंपारिक 802.1X उपयोजनामध्ये, Active Directory Certificate Services (AD CS) चालवणाऱ्या ऑन-प्रिमाइसेस Certificate Authority द्वारे प्रमाणपत्रे जारी केली जात होती. क्लाउड-फर्स्ट उपयोजनामध्ये, MDM हे SCEP (Simple Certificate Enrollment Protocol) चा वापर करून ही भूमिका स्वतःकडे घेते. Microsoft Intune, Jamf Pro आणि इतर MDM प्लॅटफॉर्म्स क्लाउड-होस्टेड CA कडून प्रमाणपत्रांची विनंती करू शकतात आणि ती व्यवस्थापित डिव्हाइसेसवर अदृश्यपणे (silently) पुश करू शकतात.

याचा प्रवाह पुढीलप्रमाणे कार्य करतो. IT ॲडमिनिस्ट्रेटर MDM मध्ये SCEP प्रमाणपत्र प्रोफाइल तयार करतो, जे WiFi ॲक्सेसची आवश्यकता असलेल्या डिव्हाइस ग्रुप्सच्या कक्षेपुरते मर्यादित असते. MDM हे प्रमाणपत्र Windows, macOS, iOS, iPadOS, Android Enterprise आणि ChromeOS डिव्हाइसेसवर स्वयंचलितपणे पुश करते. युझरला काहीही दिसत नाही. प्रमाणपत्र MDM मधील डिव्हाइस आयडेंटिटीशी बांधील असते आणि ते कालबाह्य होण्यापूर्वी स्वयंचलितपणे नूतनीकृत (renew) होते. जेव्हा डिव्हाइस WiFi ला कनेक्ट होते, तेव्हा ते क्लाउड RADIUS सर्व्हरला प्रमाणपत्र सादर करते, जे CA कडे त्याची पडताळणी करते आणि योग्य नेटवर्क पॉलिसी लागू करते.

Microsoft Intune वापरणाऱ्या संस्थांसाठी, Microsoft Cloud PKI एक पूर्णपणे व्यवस्थापित CA प्रदान करते जे थेट Intune SCEP प्रोफाइल्सशी समाकलित होते, ज्यामुळे ऑन-प्रिमायसेस NDES (Network Device Enrollment Service) सर्व्हरची गरज उरत नाही. Jamf-व्यवस्थापित Mac आणि iOS च्या ताफ्यांसाठी, Jamf चे अंगभूत CA किंवा थर्ड-पार्टी क्लाउड CA याच उद्देशासाठी काम करते.

SCIM आणि त्वरित प्रवेश रद्द करणे

क्लाउड RADIUS च्या सर्वात ऑपरेशनलदृष्ट्या महत्त्वाच्या पैलूंपैकी एक म्हणजे SCIM (System for Cross-domain Identity Management) प्रोव्हिजनिंग होय. SCIM हे एक ओपन स्टँडर्ड आहे जे आयडेंटिटी मधील बदल स्रोताकडून - म्हणजे तुमच्या क्लाउड आयडेंटिटी प्रोव्हायडरकडून - त्यावर अवलंबून असलेल्या सिस्टम्सवर रीअल-टाइममध्ये पाठवते. जेव्हा एखाद्या कर्मचाऱ्याला Entra ID किंवा Okta मध्ये निष्क्रिय केले जाते, तेव्हा SCIM तो बदल त्वरित क्लाउड RADIUS सेवेकडे पाठवते. पुढील वेळी जेव्हा ते डिव्हाइस ऑथेंटिकेशनचा प्रयत्न करते, तेव्हा RADIUS सर्व्हर Access-Reject दाखवतो. ॲक्सेस पॉइंटवर कमी वेळेची सेशन मर्यादा (session timeout) कॉन्फिगर केल्यामुळे, खाते निष्क्रिय झाल्यानंतर काही मिनिटांतच ते डिव्हाइस नेटवर्कमधून काढून टाकले जाते.

सामायिक केलेल्या PSK नेटवर्क्सच्या तुलनेत ही एक महत्त्वपूर्ण सुरक्षितता सुधारणा आहे, कारण PSK नेटवर्क्समध्ये प्रवेश रद्द करण्याचा एकमेव मार्ग म्हणजे प्रत्येक डिव्हाइसवरील पासवर्ड बदलणे हा असतो. तसेच हे जुन्या काळातील RADIUS डिप्लॉयमेंट्सपेक्षाही अधिक सुरक्षित आहे जे काही तास किंवा दिवसांच्या अंतराने होणाऱ्या नियतकालिक LDAP सिंक्रोनाइझेशनवर अवलंबून असतात.

RadSec: इंटरनेटवर RADIUS ट्रॅफिक सुरक्षित करणे

पारंपारिक RADIUS हे UDP वापरते आणि केवळ मूलभूत मेसेज ऑथेंटिकेशन प्रदान करते. जेव्हा तुमचा RADIUS सर्व्हर तुमच्या ॲक्सेस पॉइंट्ससारख्याच डेटा सेंटरमध्ये असतो, तेव्हा हे स्वीकार्य असते. परंतु जेव्हा तुमचा RADIUS सर्व्हर एक क्लाउड सर्व्हिस असते, तेव्हा ऑथेंटिकेशन ट्रॅफिक सार्वजनिक इंटरनेटवरून प्रवास करते. RadSec (RADIUS over TLS, RFC 6614) हे TLS चा वापर करून RADIUS एक्सचेंजचे एन्क्रिप्शन करते, ज्यामुळे ऑथेंटिकेशन ट्रॅफिकला गोपनीयता आणि अखंडता (integrity) मिळते. Purple हे RadSec ला नेटिव्हली सपोर्ट करते, आणि RadSec ला अजून सपोर्ट न करणाऱ्या ॲक्सेस पॉइंट्ससाठी IPsec फॉलबॅकची सुविधा देते.

अंमलबजावणी मार्गदर्शिका

EAP-TLS सह क्लाउड RADIUS उपयोजित (deploy) करण्यासाठी चार समन्वित पायऱ्यांची आवश्यकता असते. जर Entra ID आणि MDM आधीपासूनच कार्यरत असतील, तर एक पायलट SSID एका तासापेक्षा कमी वेळेत कार्यान्वित होऊ शकतो.

पायरी १: तुमच्या आयडेंटिटी प्रोव्हायडरला क्लाउड RADIUS शी कनेक्ट करा

OAuth2 ॲडमिन कन्सेंटद्वारे (Entra ID साठी) किंवा API टोकनद्वारे (Okta आणि Google Workspace साठी) Purple ला तुमच्या आयडेंटिटी प्रोव्हायडरशी कनेक्ट करा. हे Purple ला डिरेक्टरीमधून युजर्स, ग्रुप्स आणि ग्रुप मेंबरशिप्स वाचण्याची परवानगी देते. युजर स्टेटमधील बदल रिअल-टाइममध्ये Purple कडे पाठवण्यासाठी SCIM प्रोव्हिजनिंग कॉन्फिगर करा. डिस्कवर कोणतेही सर्व्हिस प्रिन्सिपल क्रेडेंशियल्स साठवले जात नाहीत. ग्रुपमधील बदल पुढील ऑथेंटिकेशन इव्हेंटच्या वेळी लागू होतात, कोणत्याही ठराविक सिंक शेड्यूलनुसार नाही.

पायरी २: तुमचे MDM आणि SCEP प्रोफाइल कॉन्फिगर करा

Microsoft Intune मध्ये, CA रूटसाठी एक Trusted Certificate Profile तयार करा, त्यानंतर Purple-व्यवस्थापित CA कडे निर्देश करणारे SCEP सर्टिफिकेट प्रोफाइल तयार करा. या दोन्ही प्रोफाइल्सची व्याप्ती (scope) अशा डिव्हाइस ग्रुप्सपुरती मर्यादित ठेवा ज्यांना WiFi प्रवेश आवश्यक आहे. Jamf साठी, कॉन्फिगरेशन प्रोफाइलमध्ये SCEP पेलोड कॉन्फिगर करा. MDM कोणतीही सूचना न देता (silently) सर्टिफिकेट्स पाठवते. पुढे जाण्यापूर्वी MDM कंप्लायन्स डॅशबोर्डमध्ये सर्टिफिकेट डिलिव्हरीची पडताळणी करा.

पायरी ३: क्लाउड RADIUS डॅशबोर्डमध्ये नेटवर्क पॉलिसीज स्पष्ट करा

RADIUS पॉलिसीज तयार करा ज्या आयडेंटिटी प्रदाता ग्रुप्सना विशिष्ट VLANs आणि ॲक्सेस कंट्रोल्ससह मॅप करतात. उदाहरणार्थ, Entra ID ग्रुप "Staff-Finance" ला पूर्ण इंटरनेट ॲक्सेससह VLAN 20 वर मॅप करा, आणि "Staff-Contractors" ला स्वयंचलितपणे कालबाह्य होणाऱ्या मर्यादित-वेळेच्या ॲक्सेससह VLAN 30 वर मॅप करा. Purple चे डॅशबोर्ड ऑथेंटिकेशनच्या वेळी या पॉलिसीज लागू करते, ज्यासाठी कोणत्याही फायरवॉल बदलांची आवश्यकता नसते.

पायरी ४: ॲक्सेस पॉईंट कॉन्फिगरेशन अपडेट करा

तुमच्या ॲक्सेस पॉईंट्सवरील SSID कॉन्फिगरेशन 802.1X सह WPA2-Enterprise किंवा WPA3-Enterprise वापरण्यासाठी अपडेट करा. Purple क्लाउड RADIUS चे प्रायमरी आणि सेकंडरी एंडपॉइंट होस्टनेम्स किंवा IP ॲड्रेस, शेअर केलेल्या सिक्रेटसह प्रविष्ट करा. Purple द्वारे परत मिळवलेल्या RADIUS ॲट्रिब्युट्सवर आधारित डायनॅमिक VLAN असाइनमेंट वापरण्यासाठी ॲक्सेस पॉईंट्स कॉन्फिगर करा. संपूर्ण इस्टेटमध्ये रोल आउट करण्यापूर्वी ॲक्सेस पॉईंट्सच्या उपसमूहावर एकाच SSID सह चाचणी घ्या.

क्लाउड RADIUS विरुद्ध ऑन-प्रिमाइसेस RADIUS: डिप्लॉयमेंट वेळ, Active Directory वरील अवलंबित्व, हाय अवेलेबिलिटी, OS पॅचिंग, आयडेंटिटी इंटिग्रेशन आणि सर्टिफिकेट लाइफसायकल मॅनेजमेंटमधील थेट तुलना.

सर्वोत्तम पद्धती

या शिफारसी IEEE 802.1X मानके, PCI DSS v4.0 आवश्यकता आणि Purple च्या ८०,०००+ हून अधिक वेन्यू इस्टेटमधील ऑपरेशनल अनुभवाचे प्रतिनिधित्व करतात.

मॅनेज्ड डिव्हाइसेससाठी EAP-TLS अनिवार्य करा. पासवर्ड हे फिशिंग आणि क्रेडेंशियल स्टफिंगसाठी असुरक्षित असतात. सर्टिफिकेट्स आयडेंटिटी आणि डिव्हाइस अनुपालनाचा क्रिप्टोग्राफिक पुरावा प्रदान करतात. EAP-TLS ही एकमेव 802.1X पद्धत आहे जी डिझाइननुसार फिशिंग-प्रतिरोधक आहे.

त्वरित रिव्होकेशनसाठी SCIM वापरा. नियतकालिक LDAP सिंक्समुळे एक अशी वेळ राहते जिथे कामावरून काढून टाकलेल्या कर्मचाऱ्याकडे नेटवर्क ॲक्सेस तसाच राहतो. SCIM हे सुनिश्चित करते की आयडेंटिटी प्रदातामध्ये खाते निष्क्रिय केल्याबरोबर ॲक्सेस त्वरित रद्द केला जाईल.

मल्टी-रीजन RADIUS डिप्लॉय करा. तुमचे ॲक्सेस पॉईंट्स वेगवेगळ्या भौगोलिक प्रदेशांमधील किमान दोन RADIUS एंडपॉइंट्ससह कॉन्फिगर करा. Purple डीफॉल्टनुसार ॲक्टिव्ह-ॲक्टिव्ह मल्टी-रीजन फेलओव्हर प्रदान करते, ज्यामध्ये फेलओव्हर काही सेकंदांत पूर्ण होतो.

डायनॅमिक VLANs सह ट्रॅफिक सेगमेंट करा. वापरकर्त्यांना विशिष्ट VLANs वर डायनॅमिकरित्या असाइन करण्यासाठी आयडेंटिटी प्रदाता ग्रुप मेंबरशिप्सचा वापर करा. हे संवेदनशील ट्रॅफिक वेगळे करते आणि मॅन्युअल फायरवॉल बदलांची आवश्यकता नसताना तडजोड केलेल्या डिव्हाइसचा प्रभाव मर्यादित करते.

RadSec सक्षम करा. तुमचे ॲक्सेस पॉईंट्स RadSec ला सपोर्ट करत असल्यास, ॲक्सेस पॉईंट आणि क्लाउड RADIUS सर्व्हरमधील ऑथेंटिकेशन ट्रॅफिक एन्क्रिप्ट करण्यासाठी ते सक्षम करा. हे विशेषतः त्या शाखा कार्यालये आणि वेन्यूसाठी महत्वाचे आहे जिथे ॲक्सेस पॉईंट एखाद्या असुरक्षित नेटवर्क सेगमेंटवर असतो.

सर्टिफिकेट लाइफसायकलचे निरीक्षण करा. सर्टिफिकेट लाइफटाइमच्या ८०% झाल्यावर ट्रिगर होण्यासाठी MDM ऑटो-रिन्यूअल सेट करा. एक वर्षाच्या सर्टिफिकेटसाठी, नूतनीकरण १० व्या महिन्यापासून सुरू होते. सर्टिफिकेट कालबाह्य होण्यापूर्वी नूतनीकरण करण्यात अयशस्वी ठरणाऱ्या डिव्हाइसेसबद्दल अलर्ट मिळवा. एंटरप्राइझ WiFi सुरक्षा मानके आणि फ्रेमवर्कच्या अधिक सविस्तर माहितीसाठी, आमचे Enterprise WiFi Security: A Complete Guide for 2026 पहा.

ट्रबलशूटिंग आणि जोखीम निवारण (Troubleshooting and risk mitigation)

क्लाउड RADIUS कडे ट्रान्झिशन केल्याने नवीन अवलंबित्व निर्माण होते. या सामान्य त्रुटींचा प्रभाव तुमच्या प्रोडक्शनवर पडण्यापूर्वीच त्यांची तयारी करा.

सर्टिफिकेट संपणे (Certificate expiration). जर MDM ने नूतनीकरण (renew) करण्यापूर्वी डिव्हाइसचे सर्टिफिकेट संपले, तर त्या डिव्हाइसचे ऑथेंटिकेशन कोणतीही सूचना न देता अयशस्वी होते. वापरकर्त्याला कोणत्याही स्पष्टीकरणाशिवाय कनेक्शन एरर दिसते. सर्टिफिकेटच्या एकूण वैधतेच्या ८०% कालावधी शिल्लक असतानाच MDM ऑटो-रिन्यूअल कॉन्फिगर करून आणि एक्स्पायर होणाऱ्या सर्टिफिकेट्सच्या उपकरणांसाठी MDM कॉम्प्लायन्स डॅशबोर्डचे निरीक्षण करून यावर मात करा.

MDM सिंक अपयश. एखादे डिव्हाइस जे MDM कॉम्प्लायन्सच्या बाहेर जाते किंवा चेक इन करू शकत नाही, त्याला नूतनीकरण केलेले सर्टिफिकेट न मिळण्याची शक्यता असते. अशा कॉम्प्लायन्स पॉलिसी लागू करा ज्या बिघडलेल्या उपकरणांना चिन्हांकित करतील आणि सर्टिफिकेट एक्स्पायर होण्यापूर्वी प्रशासकांना सावध करतील.

फायरवॉलद्वारे RADIUS ट्रॅफिक ब्लॉक करणे. ॲक्सेस पॉइंट्स हे UDP पोर्ट 1812 (ऑथेंटिकेशन) आणि UDP पोर्ट 1813 (अकाउंटिंग), किंवा RadSec साठी TCP पोर्ट 2083 वर क्लाउड RADIUS एंडपॉइंट्सपर्यंत पोहोचणे आवश्यक आहे. शाखा कार्यालयांमधील आउटबाउंड फायरवॉल नियम अनेकदा हे पोर्ट्स ब्लॉक करतात. प्रत्यक्ष वापरापूर्वी ॲक्सेस पॉइंट मॅनेजमेंट VLAN मधून पोहोचण्याच्या क्षमतेची (reachability) चाचणी घ्या.

SCIM प्रोव्हिजनिंग अपयश. जर आयडेंटिटी प्रोव्हाइडर आणि Purple मधील SCIM कनेक्शन खंडित झाले, तर वापरकर्त्याच्या स्थितीतील बदल ट्रान्सफर होणार नाहीत. आयडेंटिटी प्रोव्हाइडर आणि Purple डॅशबोर्ड दोन्हीमध्ये SCIM सिंक स्थितीचे निरीक्षण करा. सिंक अयशस्वी झाल्यास अलर्ट मिळण्यासाठी कॉन्फिगरेशन करा.

सर्टिफिकेट सपोर्ट नसलेली जुनी उपकरणे. IoT उपकरणे, प्रिंटर आणि जुन्या हार्डवेअरमध्ये कदाचित EAP-TLS सपोर्ट नसेल. या उपकरणांसाठी, सामायिक केलेल्या PSK ऐवजी iPSK (individual pre-shared keys) चा वापर करा. Purple हे iPSK ला नेटिव्हली सपोर्ट करते, ज्याद्वारे प्रत्येक उपकरणाला एक युनिक की दिली जाते आणि 802.1X सप्लिकंट सपोर्टची आवश्यकता नसतानाही प्रत्येक उपकरणाला योग्य VLAN वर ठेवले जाते.

ROI आणि व्यावसायिक प्रभाव (ROI and business impact)

ऑन-प्रिमाइसेस RADIUS वरून क्लाउड RADIUS कडे स्थलांतरित केल्याने इन्फ्रास्ट्रक्चर, ऑपरेशन्स आणि सुरक्षेमध्ये मोजण्यायोग्य मूल्य मिळते.

Purple चे Staff WiFi वापरणारे IT संघ सामान्यतः WiFi सपोर्ट तिकिटांमध्ये ८०% घट पाहतात (Purple अंतर्गत डेटा, २०२४), जी पासवर्ड रीसेट आणि मॅन्युअल डिव्हाइस ऑनबोर्डिंगच्या निर्मूलनामुळे होते. सर्टिफिकेट-आधारित ऑथेंटिकेशन देखील मजबूत ऑथेंटिकेशनसाठी PCI DSS आवश्यकता ८.३ आणि सिस्टम आणि ॲप्लिकेशन ॲक्सेस कंट्रोलसाठी ISO २७००१ कंट्रोल A.९.४ पूर्ण करते, ज्यामुळे तुमच्या सुरक्षा टीमवरील ऑडिटचा बोजा कमी होतो.

रिटेल आणि हॉस्पिटॅलिटी मधील संस्थांसाठी, एकाच क्लाउड डॅशबोर्डवरून - युनिफाइड आयडेंटिटी लेयरसह - Staff WiFi आणि Guest WiFi व्यवस्थापित करण्याची क्षमता बहु-साइट मालमत्तांमधील ऑपरेशन्सची गुंतागुंत कमी करते. वाहतूक ऑपरेटर आणि हेल्थकेअर प्रदात्यांसाठी, त्वरित रिव्होकेशन क्षमता आणि संपूर्ण ऑडिट ट्रेल कोणत्याही अतिरिक्त साधनांशिवाय नियामक आवश्यकता पूर्ण करतात.

Purple चा WiFi Analytics लेयर ऑथेंटिकेशन इन्फ्रास्ट्रक्चरच्या वर ऑक्युपन्सी आणि हायब्रिड वर्किंग डेटा जोडतो, ज्यामुळे Staff WiFi चे रूपांतर एका कॉस्ट सेंटरमधून ऑपरेशनल इंटेलिजन्सच्या स्त्रोतामध्ये होते.

संबंधित वाचन: Enterprise WiFi Security: A Complete Guide for 2026 - OpenWrt Custom Firmware Integration with Purple WiFi