मुख्य मजकुराकडे जा
मराठी

सुरक्षित उच्च शिक्षण BYOD आणि WiFi प्रमाणीकरणासाठी SCEP तैनात करणे

ही तांत्रिक मार्गदर्शिका नेटवर्क आर्किटेक्ट आणि आयटी व्यवस्थापकांना उच्च शिक्षण WiFi सुरक्षित करण्यासाठी SCEP-आधारित प्रमाणपत्र नोंदणी तैनात करण्यासाठी विक्रेता-तटस्थ ब्लूप्रिंट प्रदान करते. हे स्केलेबल BYOD ऑनबोर्डिंग आणि MDM इंटिग्रेशनवर लक्ष केंद्रित करून, असुरक्षित पासवर्ड-आधारित प्रमाणीकरणाकडून EAP-TLS कडे जाण्याच्या संक्रमणाचे तपशीलवार वर्णन करते.

📖 5 मिनिट वाचन📝 1,242 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
Purple टेक्निकल ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण उच्च शिक्षणातील IT मध्ये वारंवार समोर येणाऱ्या एका विषयावर चर्चा करणार आहोत: सुरक्षित BYOD आणि WiFi प्रमाणीकरणासाठी SCEP उपयोजित करणे. जर तुम्ही तुमच्या कॅम्पस नेटवर्कवर PEAP-MSCHAPv2 चालवत असाल, तर हे ब्रीफिंग थेट तुमच्यासाठीच आहे. आणि जर तुम्ही आधीच प्रमाणपत्र-आधारित प्रमाणीकरणावर जाण्याचा विचार करत असाल, तर आम्ही तुम्हाला तिथे पोहोचण्यासाठी आवश्यक आर्किटेक्चर, संभाव्य अडचणी आणि अंमलबजावणीचा क्रम सांगणार आहोत. चला, समस्येपासून सुरुवात करूया. विद्यापीठे ही मूळ रचनेनुसारच खुली वातावरण असतात. सप्टेंबरमध्ये विद्यार्थी दोन, तीन, कधीकधी पाच वैयक्तिक उपकरणांसह येतात. त्यांची अपेक्षा असते कि त्यांनी हेल्पडेस्कला कॉल न करता ताबडतोब आणि सुरक्षितपणे कनेक्ट व्हावे. बहुतांश संस्थांचे वास्तव असे असते की सत्र सुरू झाल्यापासून अठ्ठेचाळीस तासांच्या आत हेल्पडेस्कच्या रांगेत दोन हजार तिकिटे जमा होतात. ही कर्मचाऱ्यांची टंचाई नाही. ही एक आर्किटेक्चरची समस्या आहे. याचे मूळ कारण जवळजवळ नेहमीच सारखे असते: पासवर्ड-आधारित WiFi प्रमाणीकरण. जेव्हा तुम्ही PEAP आणि MSCHAPv2 सह WPA2-Enterprise चालवता, तेव्हा तुम्ही विद्यार्थ्यांना प्रत्येक उपकरणावर 802.1X सेटिंग्ज व्यक्तिचलितपणे कॉन्फिगर करण्यास सांगत असता. एक चुकीची सेटिंग, आणि ते मॅन-इन-द-मिडल (man-in-the-middle) हल्ल्याला बळी पडू शकतात. याहून वाईट म्हणजे, जेव्हा विद्यापीठ दर नव्वद दिवसांनी पासवर्ड बदलण्याची सक्ती करते, तेव्हा कॅम्पसमधील प्रत्येक उपकरणाचा WiFi ॲक्सेस एकाच वेळी बंद होतो. ही एक पूर्वानुमानित आणि टाळता येण्यासारखी आपत्ती आहे. याचे उत्तर म्हणजे EAP-TLS वापरून प्रमाणपत्र-आधारित प्रमाणीकरण, आणि याला स्केलेबल बनवणारी यंत्रणा म्हणजे SCEP: म्हणजेच सिम्पल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल. जरी SCEP चा वापर २००० च्या सुरुवातीपासून केला जात असला, तरी २०२० मध्ये RFC ८८९४ मध्ये IETF ने याला औपचारिक स्वरूप दिले. हे प्रत्येक उपकरणासाठी कोणत्याही मानवी IT हस्तक्षेपाशिवाय, उपकरणांवर X.५०९ डिजिटल प्रमाणपत्रे मागवण्याची आणि स्थापित करण्याची प्रक्रिया स्वयंचलित करते. थोडक्यात हे कसे कार्य करते ते येथे आहे. तुमचे MDM प्लॅटफॉर्म, मग ते Microsoft Intune असो किंवा Jamf, प्रत्येक नोंदणीकृत उपकरणावर SCEP पेलोड पाठवते. त्या पेलोडमध्ये दोन गोष्टी असतात: SCEP गेटवे URL आणि एक सामायिक चॅलेंज पासवर्ड. उपकरण एक सर्टिफिकेट साइनिंग रिक्वेस्ट तयार करते, ती SCEP गेटवेकडे पाठवते, जी चॅलेंज पासवर्ड सत्यापित करते आणि विनंती तुमच्या सर्टिफिकेट अथॉरिटीकडे पाठवते. CA प्रमाणपत्रावर स्वाक्षरी करते आणि ते उपकरणाकडे परत पाठवते. त्यानंतर, ते उपकरण EAP-TLS वापरून तुमच्या WiFi नेटवर्कशी प्रमाणीकरण करते: हे प्रमाणपत्र RADIUS सर्व्हरकडे उपकरणाची ओळख सिद्ध करते, आणि RADIUS सर्व्हरचे प्रमाणपत्र उपकरणाकडे नेटवर्कची ओळख सिद्ध करते. परस्पर प्रमाणीकरण. हवेतून कोणत्याही पासवर्डची देवाणघेवाण होत नाही. परस्पर प्रमाणीकरणाचा हा भाग अत्यंत महत्त्वाचा आहे. PEAP सह, जर एखादा विद्यार्थी तुमचा SSID ब्रॉडकास्ट करणाऱ्या फसव्या ॲक्सेस पॉइंटशी कनेक्ट झाला, तर तो सहजपणे आपली क्रेडेन्शियल्स सोपवून देईल. EAP-TLS सह, उपकरण पुढे जाण्यापूर्वी RADIUS सर्व्हर प्रमाणपत्राची तपासणी करते. जर ते विश्वसनीय CA शी जुळले नाही, तर कनेक्शन आपोआप अयशस्वी होते. तुम्ही इव्हिल ट्विन (evil twin) हल्ल्यांचा संपूर्ण धोकाच दूर केला आहे. आता आर्किटेक्चरबद्दल बोलूया. विद्यापीठासाठीच्या एका प्रोडक्शन SCEP डिप्लॉयमेंटमध्ये सहा मुख्य घटक असतात. पहिला, तुमचा आयडेंटिटी प्रोव्हायडर: Microsoft Entra ID, Okta, किंवा Google Workspace. दुसरा, तुमचा MDM प्लॅटफॉर्म: Windows आणि Android साठी Intune, macOS आणि iOS साठी Jamf. तिसरा, तुमची Certificate Authority: एकतर ऑन-प्रिमाइसेस Microsoft Active Directory Certificate Services, किंवा क्लाउड PKI. चौथा, तुमचा SCEP गेटवे: HTTP एंडपॉइंट जो सर्टिफिकेटच्या विनंत्या प्राप्त करतो. पाचवा, ऑथेंटिकेशनसाठी तुमचा RADIUS सर्व्हर. सहावा, तुमचा ॲक्सेस लेयर: 802.1X साठी कॉन्फिगर केलेले Cisco Meraki, HPE Aruba, Ruckus, किंवा Juniper Mist ॲक्सेस पॉइंट्स. ट्रस्ट चेन अशा प्रकारे काम करते. CA एक रूट सर्टिफिकेट जारी करतो. ते रूट सर्टिफिकेट MDM द्वारे प्रत्येक डिव्हाइसवर वितरीत केले जाते, ज्यामुळे ट्रस्ट प्रस्थापित होतो. त्यानंतर CA हे SCEP द्वारे डिव्हाइसेसना क्लायंट सर्टिफिकेट जारी करते. जेव्हा एखादे डिव्हाइस कनेक्ट होते, तेव्हा ते आपले क्लायंट सर्टिफिकेट RADIUS सर्व्हरला सादर करते, आणि RADIUS सर्व्हर आपले सर्व्हर सर्टिफिकेट डिव्हाइसला सादर करतो. दोन्ही बाजू ट्रस्टेड रूटद्वारे पडताळणी करतात. ॲक्सेस हा पासवर्ड ऐवजी सर्टिफिकेटच्या वैधतेवर आधारित मंजूर किंवा नाकारला जातो. मी तुम्हाला अंमलबजावणीच्या क्रमाबद्दल माहिती देतो. हाच तो क्रम आहे जो यशस्वी ठरतो. पहिली पायरी: तुमचा आयडेंटिटी स्टोअर क्लीन करा. तुमच्या Active Directory किंवा Entra ID मध्ये विद्यार्थी, कर्मचारी आणि पाहुणे (गेस्ट्स) यांच्यासाठी स्पष्टपणे परिभाषित केलेले ग्रुप्स असल्याची खात्री करा. सर्टिफिकेट पॉलिसी आणि VLAN असाइनमेंट्स या ग्रुप्सशी जोडले जातील. दुसरी पायरी: तुमची Certificate Authority डिप्लॉय करा. तुम्ही Microsoft ADCS वापरत असल्यास, टू-टियर हायराॅर्की तयार करा: एक ऑफलाइन रूट CA आणि एक ऑनलाइन इश्यूइंग CA. रूट CA प्रारंभिक सेटअपनंतर एअर-गॅप केला पाहिजे. तिसरी पायरी: तुमचा SCEP गेटवे कॉन्फिगर करा. हा तो HTTP एंडपॉइंट आहे ज्याकडे तुमचे MDM डिव्हाइसेसना निर्देशित करेल. डिव्हाइसेस जेथून प्रारंभिक एनरोलमेंट करतात त्या नेटवर्क सेगमेंटमधून तो ॲक्सेसिबल असल्याची खात्री करा, सामान्यतः तुमच्या ऑनबोर्डिंग SSID वरून. चौथी पायरी: तुमचा RADIUS सर्व्हर कॉन्फिगर करा. इश्यूइंग CA सर्टिफिकेट ट्रस्टेड CA म्हणून इम्पोर्ट करा. तुमची ऑथेंटिकेशन पद्धत म्हणून EAP-TLS कॉन्फिगर करा. VLAN रिटर्न ॲट्रिब्युट्स सेट करा जेणेकरून RADIUS विद्यार्थ्यांना योग्य नेटवर्क सेगमेंटमध्ये डायनॅमिकली असाइन करू शकेल. पाचवी पायरी: तुमचे MDM प्रोफाइल कॉन्फिगर करा. Intune मध्ये, आधी ट्रस्टेड सर्टिफिकेट प्रोफाइल तयार करा, नंतर SCEP सर्टिफिकेट प्रोफाइल, आणि शेवटी SCEP सर्टिफिकेटचा संदर्भ देणारे WiFi प्रोफाइल तयार करा. हे नेमक्या याच क्रमाने डिप्लॉय करा. प्रत्येक प्रोफाइल आधीच्या प्रोफाइलवर अवलंबून असते. सहावी पायरी: तुमचे ॲक्सेस पॉइंट्स कॉन्फिगर करा. Cisco Meraki, HPE Aruba, Ruckus, किंवा Juniper Mist वर, तुमचे सुरक्षित SSID हे WPA2-Enterprise किंवा WPA3-Enterprise साठी कॉन्फिगर करा. पीक ऑनबोर्डिंग दरम्यान सर्टिफिकेट व्हॅलिडेशनच्या विलंबाशी जुळवून घेण्यासाठी RADIUS टाईमआउट किमान पाच सेकंदांवर सेट करा. आता, काही त्रुटी. मी या त्रुटींमुळे डिप्लॉयमेंट्स वारंवार विस्कळीत होताना पाहिले आहेत. पहिली त्रुटी म्हणजे MDM प्रोफाइल चुकीच्या क्रमाने डिप्लॉय करणे. जर SCEP सर्टिफिकेट प्रोफाइलच्या आधी WiFi प्रोफाइल डिव्हाइसवर पोहोचले, तर डिव्हाइसकडे ऑथेंटिकेट करण्यासाठी कोणतेही सर्टिफिकेट नसते. कनेक्शन अयशस्वी होते, आणि वापरकर्ता हेल्पडेस्कला कॉल करतो. दुसरी चूक म्हणजे BYOD डिव्हाइसेस विसरणे. Intune आणि Jamf तुमच्या संस्थेच्या मालकीच्या उपकरणांचे व्यवस्थापन करतात. परंतु विद्यार्थ्यांचे वैयक्तिक डिव्हाइसेस तुमच्या MDM मध्ये नोंदणीकृत नसतात. त्यांच्यासाठी, तुम्हाला एका सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टलची आवश्यकता आहे. विद्यार्थी त्यांच्या विद्यापीठाच्या क्रेडेंशियलचा वापर करून Single Sign-On द्वारे प्रमाणीकरण करतो, आणि पोर्टल प्रमाणपत्र प्रदान करण्यासाठी SCEP चा वापर करते. Purple चा प्लॅटफॉर्म या ऑनबोर्डिंग प्रक्रियेला थेट captive portal अनुभवामध्ये समाकलित करतो, ज्यामुळे विद्यार्थी कोणत्याही IT हस्तक्षेपाशिवाय दोन मिनिटांपेक्षा कमी वेळात नोंदणी पूर्ण करतात. तिसरी चूक म्हणजे गर्दीच्या ऑनबोर्डिंग दरम्यान RADIUS टाइमआउट अयशस्वी होणे. तुमच्या RADIUS इन्फ्रास्ट्रक्चरची लोड चाचणी सप्टेंबरच्या आधी करा, त्यादरम्यान नाही. किमान दोन RADIUS नोड्समध्ये लोड बॅलन्सिंग लागू करा. चौथी चूक म्हणजे प्रमाणपत्र रद्द करणे. जेव्हा एखादा विद्यार्थी सोडून जातो किंवा एखादे डिव्हाइस हरवले किंवा चोरीला गेले, तेव्हा तुम्हाला ते प्रमाणपत्र त्वरित रद्द करावे लागेल. तुमची CA 'प्रमाणपत्र रद्दीकरण सूची' (Certificate Revocation List) प्रकाशित करत असल्याची आणि तुमचा RADIUS सर्व्हर प्रत्येक प्रमाणीकरणावर ती तपासत असल्याची खात्री करा. आता आम्ही वारंवार ऐकत असलेल्या प्रश्नांवर एक जलद प्रश्नोत्तरांची फेरी. MDM शिवाय SCEP काम करू शकते का? तांत्रिकदृष्ट्या होय, परंतु व्यावहारिकदृष्ट्या नाही. SCEP पेलोड आणि WiFi प्रोफाइल पुश करण्यासाठी MDM नसल्यास, तुम्ही पुन्हा मॅन्युअल डिव्हाइस कॉन्फिगरेशनवर परत जाता. प्रमाणपत्राची वैधता किती काळ असावी? विद्यार्थ्यांच्या डिव्हाइसेससाठी, एक ते दोन वर्षे प्रमाणित आहे. नूतनीकरणाच्या त्रासाशिवाय शैक्षणिक वर्षभर टिकेल इतकी दीर्घ, आणि प्रमाणपत्र धोक्यात आल्यास जोखीम मर्यादित ठेवण्यासाठी पुरेशी कमी. 802.1X ला सपोर्ट न करणाऱ्या IoT डिव्हाइसेसचे काय? सेल्फ-सर्व्हिस डिव्हाइस नोंदणी पोर्टलसह MAC Authentication Bypass वापरा. विद्यार्थी त्यांच्या गेमिंग कन्सोल किंवा स्मार्ट टीव्हीचा MAC पत्ता नोंदणीकृत करतात, आणि तुमची NAC प्रणाली त्यास योग्य VLAN मध्ये ठेवते. हे eduroam सोबत काम करते का? होय. EAP-TLS ला eduroam फेडरेशनद्वारे पूर्णपणे सपोर्ट आहे. तुमच्या कॅम्पस CA द्वारे जारी केलेली प्रमाणपत्रे जगभरातील कोणत्याही सहभागी संस्थेमध्ये eduroam वर विद्यार्थ्यांचे प्रमाणीकरण करू शकतात. शेवटी, यशस्वी SCEP उपयोजन (deployment) परिभाषित करणारे तीन निर्णय येथे आहेत. पहिले: इतर कशाच्याही आधी तुमचे CA आर्किटेक्चर निवडा. ऑन-प्रिमाइसेस ADCS तुम्हाला पूर्ण नियंत्रण देते. क्लाउड PKI तुम्हाला ऑपरेशनल सुलभता देते. येथील चुकीच्या निवडीमुळे तुमचे महिन्यांचे काम पुन्हा करावे लागू शकते. दुसरे: पहिल्या दिवसापासून BYOD ऑनबोर्डिंग स्वयंचलित करा. विद्यार्थी त्यांचे वैयक्तिक डिव्हाइसेस मॅन्युअली कॉन्फिगर करतील असे गृहीत धरू नका. ते करणार नाहीत. सत्र सुरू होण्यापूर्वी सेल्फ-सर्व्हिस पोर्टल तयार करा. तिसरे: सप्टेंबरपूर्वी लोड अंतर्गत तुमच्या RADIUS क्षमतेची चाचणी घ्या. सत्राच्या पहिल्या दिवशी RADIUS बंद पडणे पूर्णपणे टाळता येऊ शकते. Purple चा प्लॅटफॉर्म या तिन्हींना सपोर्ट करतो: क्लाउड ओव्हरले PKI इंटिग्रेशन, आमच्या captive portal द्वारे सेल्फ-सर्व्हिस BYOD ऑनबोर्डिंग, आणि नव्व्याण्णव पॉईंट नऊ नऊ नऊ टक्के अपटाइमसह ऐंशी हजार लाइव्ह ठिकाणांवर चाचणी केलेले RADIUS इन्फ्रास्ट्रक्चर. Purple टेक्निकल ब्रीफिंगमध्ये सामील झाल्याबद्दल धन्यवाद. अधिक मार्गदर्शनासाठी, purple.ai ला भेट द्या.

header_image.png

कार्यकारी सारांश (Executive Summary)

उच्च शिक्षण क्षेत्रातील IT टीम्ससाठी, शैक्षणिक वर्षाची सुरुवात एका मोठ्या ताण-तणावाच्या चाचणीसह होते. हजारो विद्यार्थी त्यांच्यासोबत अनेक अनमॅनेज्ड डिव्हाइसेस घेऊन कॅम्पसमध्ये येतात, आणि त्यांना त्वरित, सुरक्षित कनेक्टिव्हिटी हवी असते. जेव्हा विद्यापीठे PEAP-MSCHAPv2 सारख्या पासवर्ड-आधारित ऑथेंटिकेशनवर अवलंबून असतात, तेव्हा या गर्दीमुळे साहजिकच हेल्पडेस्कवर प्रचंड रांगा लागतात, कॉन्फिगरेशन त्रुटी येतात आणि इव्हिल ट्विन (evil twin) ॲक्सेस पॉइंट्सद्वारे क्रेडेंशियल चोरीचा मोठा धोका निर्माण होतो.

या स्केल आणि सुरक्षिततेच्या आव्हानावरील आर्किटेक्चरल उपाय म्हणजे EAP-TLS चा वापर करून सर्टिफिकेट-आधारित ऑथेंटिकेशन करणे. हजारो एंडपॉइंट्सवर सर्टिफिकेटचे उपयोजन व्यवहार्य करण्यासाठी, विद्यापीठांनी Simple Certificate Enrollment Protocol (SCEP) लागू करणे आवश्यक आहे. SCEP हे MDM द्वारे मॅनेज्ड डिव्हाइसेसना आणि सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल्सद्वारे अनमॅनेज्ड विद्यार्थी डिव्हाइसेसना डिजिटल सर्टिफिकेट्सचे प्रोव्हिजनिंग स्वयंचलित करते. हे मार्गदर्शक उच्च शिक्षण वातावरणात SCEP तैनात करण्यासाठी तांत्रिक आवश्यकतांचा तपशील देते, पासवर्ड-संबंधित हेल्पडेस्क तिकिटे दूर करण्यासाठी आणि कॅम्पसच्या सीमा सुरक्षित करण्यासाठी महत्त्वपूर्ण पावले प्रदान करते.

SCEP सर्टिफिकेट एनरोलमेंटचे आर्किटेक्चर

सर्टिफिकेट-आधारित WiFi कडे स्थलांतरित होण्यासाठी युझरच्या ज्ञानाची (पासवर्ड) पडताळणी करण्याऐवजी डिव्हाइसच्या ओळखीची (सर्टिफिकेट) पडताळणी करणे हा मूलभूत बदल आवश्यक आहे. SCEP प्रोटोकॉल तुमच्या डिव्हाइस मॅनेजमेंट लेअर आणि तुमच्या Public Key Infrastructure (PKI) मधील दुवा म्हणून काम करतो.

scep_architecture_diagram.png

मुख्य इन्फ्रास्ट्रक्चर घटक (Core Infrastructure Components)

उत्पादन-योग्य SCEP उपयोजनासाठी क्रमाने काम करणाऱ्या सहा एकात्मिक घटकांची आवश्यकता असते:

  1. आयडेंटिटी प्रोव्हायडर (IdP): ऑथॉरिटेटिव्ह डिरेक्टरी (Microsoft Entra ID, Okta, किंवा Google Workspace) जी सर्टिफिकेट जारी करण्यापूर्वी युझरच्या ओळखीची पडताळणी करते.
  2. मोबाईल डिव्हाइस मॅनेजमेंट (MDM): Microsoft Intune किंवा Jamf सारखे प्लॅटफॉर्म जे संस्थेच्या मालकीच्या डिव्हाइसेसवर SCEP पेलोड पाठवतात.
  3. सर्टिफिकेट ऑथॉरिटी (CA): PKI इंजिन जे सर्टिफिकेट्सवर स्वाक्षरी करते आणि जारी करते. हे ऑन-प्रिमाइसेस Microsoft ADCS उपयोजन किंवा क्लाउड-नेटिव्ह PKI ओव्हरले असू शकते.
  4. SCEP गेटवे: HTTP एंडपॉईंट जो डिव्हाइसेसकडून सर्टिफिकेट सायनिंग रिक्वेस्ट्स (CSRs) प्राप्त करतो, चॅलेंज पासवर्ड सत्यापित करतो आणि विनंती CA कडे पाठवतो.
  5. RADIUS सर्व्हर: ऑथेंटिकेशन सर्व्हर जो 802.1X EAP-TLS एक्सचेंज दरम्यान नेटवर्क ऍक्सेस पॉलिसीनुसार सादर केलेल्या क्लायंट सर्टिफिकेटचे मूल्यमापन करतो.
  6. वायरलेस ऍक्सेस नेटवर्क: 802.1X ऑथेंटिकेशन लागू करण्यासाठी कॉन्फिगर केलेले भौतिक ॲक्सेस पॉइंट्स (Cisco Meraki, HPE Aruba, Ruckus, किंवा Juniper Mist).

SCEP एनरोलमेंट फ्लो (The SCEP Enrollment Flow)

मॅनेज्ड डिव्हाइसेसवर युझरच्या हस्तक्षेपाशिवाय नावनोंदणी प्रक्रिया चालते. MDM प्लॅटफॉर्म SCEP गेटवे URL आणि डायनॅमिकली जनरेट केलेला चॅलेंज पासवर्ड असलेला कॉन्फिगरेशन प्रोफाइल पुश करतो. डिव्हाइस स्थानिक पातळीवर प्रायव्हेट की जनरेट करते आणि CSR तयार करते. त्यानंतर ते हा CSR HTTP द्वारे SCEP गेटवेवर ट्रान्समिट करते.

गेटवे विनंती थांबवतो आणि डिव्हाइस ऑथराइज्ड असल्याची खात्री करण्यासाठी MDM API विरुद्ध चॅलेंज पासवर्ड व्हॅलिडेट करतो. एकदा व्हेरिफाय झाल्यावर, गेटवे CSR ला CA कडे फॉरवर्ड करतो. CA प्रमाणपत्रावर स्वाक्षरी करतो आणि ते गेटवेद्वारे डिव्हाइसवर परत करतो. प्रायव्हेट की एंडपॉइंट कधीही सोडत नाही, ज्यामुळे क्रिप्टोग्राफिक अखंडता सुनिश्चित होते.

अंमलबजावणी मार्गदर्शक: टप्प्याटप्प्याने उपयोजन धोरण

SCEP उपयोजित करण्यासाठी अचूक क्रमाची आवश्यकता असते. प्रोफाइलच्या परस्परावलंबनाचा अर्थ असा आहे की या पायऱ्या चुकीच्या क्रमाने अंमलात आणल्यास ऑथेंटिकेशन अयशस्वी होईल.

पायरी १: डिरेक्टरी सिंक्रोनाइझेशन आणि ग्रुप पॉलिसी

प्रमाणपत्रांना स्पर्श करण्यापूर्वी, तुमचा आयडेंटिटी स्टोअर व्यवस्थित असल्याची खात्री करा. Entra ID किंवा Active Directory मध्ये विद्यार्थी, कर्मचारी आणि प्राध्यापकांसाठी स्वतंत्र सुरक्षा गट (security groups) तयार करा. तुमचा RADIUS सर्व्हर डिव्हाइसेसना योग्य VLANs मध्ये डायनॅमिकली असाइन करण्यासाठी प्रमाणपत्रांमध्ये Subject Alternative Names (SAN) म्हणून समाविष्ट असलेल्या या ग्रुप मेंबरशिप्सचा वापर करेल.

पायरी २: PKI आणि SCEP गेटवे कॉन्फिगरेशन

तुमची CA हायपरार्की स्थापित करा. ऑन-प्रिमाइसेस तयार करत असल्यास, ऑफलाइन Root CA आणि ऑनलाइन Issuing CA उपयोजित करा. इन्फ्रास्ट्रक्चरचा आकार कमी करू इच्छिणाऱ्या उच्च शिक्षण पर्यावरणासाठी, क्लाउड PKI सोल्यूशन्स ऑपरेशनल सुलभता देतात. तुमच्या CA शी संवाद साधण्यासाठी SCEP गेटवे कॉन्फिगर करा आणि नावनोंदणी एंडपॉइंट त्या नेटवर्क सेगमेंटसाठी खुला करा जिथे डिव्हाइसेस सुरुवातीला कनेक्ट होतील.

पायरी ३: RADIUS सर्व्हर इंटिग्रेशन

तुमच्या RADIUS सर्व्हरच्या ट्रस्टेड सर्टिफिकेट स्टोअरमध्ये Issuing CA प्रमाणपत्र इम्पोर्ट करा. ऑथेंटिकेशन प्रोटोकॉल काटेकोरपणे EAP-TLS वर कॉन्फिगर करा. कॅम्पसमध्ये मायक्रो-सेगमेंटेशन सक्षम करून, विशिष्ट VLAN रिटर्न ॲट्रिब्युट्समध्ये प्रमाणपत्र ॲट्रिब्युट्स (जसे की User Principal Name) मॅप करणाऱ्या नेटवर्क पॉलिसीज परिभाषित करा.

पायरी ४: MDM प्रोफाइल सिक्वेन्सिंग

Intune किंवा Jamf द्वारे व्यवस्थापित केलेल्या संस्था-मालकीच्या डिव्हाइसेससाठी, प्रोफाइल उपयोजन क्रम अत्यंत महत्त्वाचा आहे. तुम्ही या अचूक क्रमाने प्रोफाइल उपयोजित करणे आवश्यक आहे:

  1. ट्रस्टेड सर्टिफिकेट प्रोफाइल (Trusted Certificate Profile): विश्वास स्थापित करण्यासाठी Root CA प्रमाणपत्र वितरित करते.
  2. SCEP सर्टिफिकेट प्रोफाइल (SCEP Certificate Profile): डिव्हाइसला त्याचे क्लायंट प्रमाणपत्र मिळवण्यासाठी गेटवेकडे निर्देशित करते.
  3. WiFi प्रोफाइल: मागील पायरीमध्ये मिळवलेल्या प्रमाणपत्राचा स्पष्ट संदर्भ देऊन, EAP-TLS सह WPA3-Enterprise वापरण्यासाठी SSID कॉन्फिगर करते.

पायरी ५: BYOD सेल्फ-सर्व्हिस ऑनबोर्डिंग

विद्यार्थी त्यांच्या वैयक्तिक उपकरणांवर मॅन्युअली प्रमाणपत्रे स्थापित करणार नाहीत. तुम्ही एक स्वयंचलित ऑनबोर्डिंग मार्ग प्रदान केला पाहिजे. एक ओपन SSID तैनात करा जो रहदारी केवळ Captive Portal आणि SCEP गेटवेपुरती मर्यादित ठेवतो. जेव्हा एखादा विद्यार्थी कनेक्ट होतो, तेव्हा पोर्टल त्यांना त्यांच्या युनिव्हर्सिटी क्रेडेंशियल्सचा वापर करून Single Sign-On द्वारे प्रमाणीकृत करण्यास प्रवृत्त करते. यशस्वी प्रमाणीकरणानंतर, पोर्टल उपकरणावर SCEP पेलोडची तरतूद करते. Purple हा ऑनboarding फ्लो थेट Captive Portal अनुभवामध्ये समाकलित करते, ज्यामुळे विद्यार्थ्यांना IT हस्तक्षेपाशिवाय दोन मिनिटांत नावनोंदणी पूर्ण करणे शक्य होते.

सर्वोत्तम पद्धती आणि जोखीम कमी करणे

EAP-TLS कडे संक्रमण केल्याने क्रेडेंशियल चोरीचे प्रमाण संपुष्टात येते, परंतु नवीन ऑपरेशनल बाबी समोर येतात. नेटवर्क आर्किटेक्ट्सनी स्केल आणि लाइफसायकल इव्हेंट्सचा अंदाज घेतला पाहिजे.

scep_vs_password_comparison.png

RADIUS क्षमता नियोजन

EAP-TLS प्रमाणपत्र प्रमाणीकरणाचा कॉम्प्युटेशनल ओव्हरहेड हा PEAP पासवर्ड तपासणीपेक्षा लक्षणीयरीत्या जास्त असतो. सत्राच्या पहिल्या आठवड्यात, हजारो उपकरणे एकाच वेळी प्रमाणीकृत करण्याचा प्रयत्न करतील. एकच RADIUS नोड बहुधा त्याचे रिसोर्सेस संपवून टाकेल आणि विनंत्या ड्रॉप करेल, ज्यामुळे मोठ्या प्रमाणावर कनेक्शन अयशस्वी होईल. पीक लेटन्सी सामावून घेण्यासाठी तुम्ही मल्टिपल RADIUS नोड्समध्ये लोड बॅलेंसिंग लागू केले पाहिजे आणि तुमच्या ॲक्सेस पॉईंट्सवरील प्रमाणीकरण टाइमआउट किमान पाच सेकंदांपर्यंत वाढवला पाहिजे.

प्रमाणपत्र लाइफसायकल व्यवस्थापन

विद्यार्थ्यांच्या उपकरणांसाठी प्रमाणपत्रांचा वैधतेचा कालावधी साधारणपणे एक ते दोन वर्षांचा असावा. हा कालावधी शैक्षणिक चक्र कव्हर करतो आणि एखादे उपकरण धोक्यात आल्यास जोखीम मर्यादित करतो. महत्त्वाचे म्हणजे, तुम्ही एक मजबूत रिव्होकेशन (रद्दीकरण) यंत्रणा लागू केली पाहिजे. जेव्हा एखादा विद्यार्थी पदवीधर होतो किंवा उपकरण गहाळ झाल्याची तक्रार करतो, तेव्हा प्रमाणपत्र त्वरित रद्द केले पाहिजे. तुमची CA 'प्रमाणपत्र रद्दीकरण सूची' (CRL) प्रकाशित करते किंवा Online Certificate Status Protocol (OCSP) रिस्पॉन्डर ऑपरेट करते याची खात्री करा आणि प्रत्येक प्रमाणीकरण प्रयत्नावर रद्दीकरण स्थिती तपासण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर करा.

हेडलेस IoT उपकरणे हाताळणे

रेसिडेन्स हॉलमधील स्मार्ट टीव्ही, गेमिंग कन्सोल आणि वायरलेस प्रिंटरमध्ये SCEP नावनोंदणीसाठी आवश्यक असलेले नेटिव्ह 802.1X सप्लिकंट्स नसतात. या उपकरणांसाठी, MAC Authentication Bypass (MAB) लागू करा. एक सेल्फ-सर्व्हिस डिव्हाइस नोंदणी पोर्टल प्रदान करा जेथे विद्यार्थी त्यांच्या IoT हार्डवेअरचे MAC पत्ते नोंदवू शकतात. त्यानंतर नेटवर्क ॲक्सेस कंट्रोल (NAC) सिस्टम या नोंदणीकृत पत्त्यांचे प्रमाणीकरण करते आणि त्यांना योग्य विद्यार्थी VLAN मध्ये ठेवते.

तांत्रिक ब्रीफिंग ऐका

आर्किटेक्चर आणि वास्तविक-जगातील तैनाती परिस्थितीचा सखोल अभ्यास करण्यासाठी, आमचे १० मिनिटांचे तांत्रिक ब्रीफिंग पॉडकास्ट ऐका.

ROI आणि व्यावसायिक प्रभाव

उच्च शिक्षणात SCEP उपयोजनाचा व्यावसायिक दृष्टिकोन दोन स्तंभांवर आधारित आहे: सुरक्षा स्थिती आणि परिचालन कार्यक्षमता.

सुरक्षेच्या दृष्टिकोनातून, EAP-TLS परस्पर प्रमाणीकरण (mutual authentication) प्रदान करते. कोणताही डेटा ट्रान्समिट करण्यापूर्वी डिव्हाइस RADIUS सर्व्हरच्या प्रमाणपत्राची पडताळणी करते, ज्यामुळे इव्हिल ट्विन (evil twin) ॲक्सेस पॉइंट्सद्वारे क्रेडेंशियल चोरी होण्याचा धोका पूर्णपणे टळतो. ही आर्किटेक्चर झिरो-ट्रस्ट (zero-trust) तत्त्वांशी सुसंगत आहे, ज्यामुळे केवळ क्रिप्टोग्राफिकली सत्यापित डिव्हाइसेसनाच कॅम्पस नेटवर्कमध्ये प्रवेश मिळतो याची खात्री होते.

परिचालन दृष्टिकोनातून, WiFi प्रमाणीकरण डिरेक्टरी पासवर्डपासून वेगळे केल्याने त्वरित आर्थिक फायदा मिळतो. जेव्हा एखादे विद्यापीठ ९०-दिवसांच्या पासवर्ड रिसेटची सक्ती करते, तेव्हा PEAP वापरणाऱ्या विद्यार्थ्यांना त्यांच्या प्रत्येक डिव्हाइसवर त्यांचे क्रेडेंशियल अपडेट करावे लागतात. अपरिहार्यपणे, यामध्ये अनेक जण अयशस्वी ठरतात, ज्यामुळे हेल्पडेस्क तिकिटांमध्ये प्रचंड वाढ होते. SCEP आणि EAP-TLS मुळे, पासवर्ड बदलला तरीही प्रमाणपत्र वैध राहते. स्वयंचलित प्रमाणपत्र ऑनबोर्डिंग लागू करणारी विद्यापीठे पीक पिरीयड दरम्यान WiFi-संबंधित सपोर्ट तिकिटांमध्ये ७०% पर्यंत घट झाल्याची सातत्याने नोंद करतात, ज्यामुळे आयटी (IT) कर्मचाऱ्यांना मूलभूत कनेक्टिव्हिटी ट्रबलशूटिंगऐवजी धोरणात्मक उपक्रमांवर लक्ष केंद्रित करणे शक्य होते.

महत्वाच्या व्याख्या

SCEP (Simple Certificate Enrollment Protocol)

एक प्रोटोकॉल जो व्यक्तिचलित हस्तक्षेपाशिवाय नेटवर्क उपकरणांना डिजिटल प्रमाणपत्रांची विनंती आणि जारी करण्याची प्रक्रिया स्वयंचलित करतो.

EAP-TLS तैनाती स्केल करण्यासाठी आवश्यक आहे, कारण हे MDM आणि ऑनबोर्डिंग पोर्टल्सना हजारो विद्यार्थ्यांच्या उपकरणांना अखंडपणे प्रमाणपत्रे प्रदान करण्यास अनुमती देते.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

सर्वात सुरक्षित 802.1X प्रमाणीकरण पद्धत, ज्यामध्ये परस्पर प्रमाणीकरणासाठी सर्व्हर-साइड आणि क्लायंट-साइड दोन्ही प्रमाणपत्रांची आवश्यकता असते.

PEAP सारख्या असुरक्षित पासवर्ड-आधारित प्रोटोकॉलची जागा घेते, ज्यामुळे 'evil twin' ॲक्सेस पॉइंट्सद्वारे क्रेडेन्शियल्स चोरीला जाण्याचा धोका दूर होतो.

MDM (Mobile Device Management)

संस्थेच्या मालकीची उपकरणे व्यवस्थापित आणि सुरक्षित करण्यासाठी वापरले जाणारे सॉफ्टवेअर प्लॅटफॉर्म जसे की Microsoft Intune किंवा Jamf.

व्यवस्थापित उपकरणांवर SCEP पेलोड आणि WiFi प्रोफाइल गुप्तपणे पाठवण्यासाठी वापरले जाते, जेणेकरून तैनातीपूर्वी ते नेटवर्क प्रवेशासाठी कॉन्फिगर केले जातील.

CSR (Certificate Signing Request)

क्लायंट डिव्हाइसद्वारे व्युत्पन्न केलेला एनकोड केलेल्या मजकुराचा एक ब्लॉक ज्यामध्ये सार्वजनिक की आणि ओळख माहिती असते, जी प्रमाणपत्रासाठी अर्ज करण्यासाठी CA कडे पाठवली जाते.

SCEP वर्कफ्लोमध्ये, उपकरण स्थानिक पातळीवर खाजगी की तयार करते आणि केवळ CSR गेटवेला पाठवते, ज्यामुळे खाजगी की अंतिम टप्प्यावर सुरक्षित राहते.

RADIUS (रिमोट ऑथेंटिकेशन डायल-इन युझर सर्विस)

नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत प्रमाणीकरण (authentication), अधिकृतता (authorization), आणि अकाऊंटिंग व्यवस्थापन प्रदान करतो.

802.1X एक्सचेंज दरम्यान डिव्हाइसद्वारे सादर केलेल्या क्लायंट प्रमाणपत्राचे मूल्यांकन करणारा आणि VLAN असाइनमेंट ठरवणारा सर्व्हर.

इव्हिल ट्विन अटॅक (Evil Twin Attack)

एक सुरक्षा हल्ला जिथे युझरचे क्रेडेंशियल चोरण्यासाठी आक्रमणकर्ता वैध नेटवर्कसारखाच SSID असलेला बनावट ॲक्सेस पॉइंट सेट करतो.

EAP-TLS याला प्रतिबंध करते कारण कोणताही डेटा ट्रान्समिट करण्यापूर्वी क्लायंट डिव्हाइस RADIUS सर्व्हरच्या प्रमाणपत्राची पडताळणी करते; जर आक्रमणकर्त्याकडे विश्वसनीय सर्व्हर प्रमाणपत्र नसेल, तर कनेक्शन खंडित होते.

MAB (MAC ऑथेंटिकेशन बायपास)

एक फॉलबॅक प्रमाणीकरण पद्धत जी डिव्हाइसचा MAC ॲड्रेस त्याचे क्रेडेंशियल म्हणून वापरते.

रेसिडेन्स हॉल्समध्ये हेडलेस IoT डिव्हाइसेस (जसे की गेमिंग कन्सोल) ऑनबोर्ड करण्यासाठी आवश्यक आहे जे 802.1X किंवा SCEP ला सपोर्ट करू शकत नाहीत.

CRL (सर्टिफिकेट रिव्होकेशन लिस्ट)

सर्टिफिकेट ऑथॉरिटीद्वारे प्रकाशित केलेली यादी ज्यामध्ये कालबाह्य होण्याच्या तारखेपूर्वी अवैध ठरवलेल्या प्रमाणपत्रांचे अनुक्रमांक (serial numbers) असतात.

नेटवर्क सुरक्षेसाठी अत्यंत महत्त्वाचे; चोरी झालेल्या डिव्हाइसेसना किंवा उत्तीर्ण झालेल्या विद्यार्थ्यांना त्वरित प्रवेश नाकारला जाईल याची खात्री करण्यासाठी RADIUS सर्व्हरने CRL तपासणे आवश्यक आहे.

सोडवलेली उदाहरणे

२०,००० विद्यार्थी असलेले विद्यापीठ PEAP-MSCHAPv2 वरून EAP-TLS कडे स्थलांतरित होत आहे. ते ३,००० विद्यापीठाच्या मालकीच्या Windows लॅपटॉपसाठी Microsoft Intune वापरतात, परंतु उर्वरित ४५,००० उपकरणे विद्यार्थ्यांचे स्वतःचे BYOD (फोन, टॅब्लेट, वैयक्तिक लॅपटॉप) आहेत. शैक्षणिक वर्षाच्या पहिल्या दिवशी सर्व उपकरणे प्रमाणित होऊ शकतील याची खात्री करण्यासाठी त्यांनी प्रमाणपत्र तैनातीची रचना कशी करावी?

विद्यापीठाने एक द्विभाजित नोंदणी धोरण (bifurcated enrollment strategy) लागू केले पाहिजे. ३,००० Intune-व्यवस्थापित लॅपटॉपसाठी, IT टीम Intune मध्ये SCEP प्रमाणपत्र प्रोफाइल कॉन्फिगर करते, आणि गेटवे URL व चॅलेंज पासवर्ड उपकरणांवर गुप्तपणे पाठवते. ४५,००० BYOD उपकरणांसाठी, ते एक ओपन 'Onboarding' SSID तैनात करतात जे ट्रॅफिकला केवळ सेल्फ-सर्व्हिस Captive Portal आणि SCEP गेटवे पुरते मर्यादित करते. विद्यार्थी Onboarding SSID ला कनेक्ट करतात, Entra ID च्या विरुद्ध SAML SSO द्वारे प्रमाणीकरण करतात आणि SCEP नोंदणी ट्रिगर करणारे कॉन्फिगरेशन पेलोड डाउनलोड करतात. एकदा प्रमाणपत्र स्थापित झाल्यानंतर, उपकरण EAP-TLS वापरून सुरक्षित 'eduroam' SSID शी आपोआप जोडले जाते.

परीक्षकाचे भाष्य: हा दृष्टिकोन योग्यरित्या ओळखतो की केवळ MDM द्वारे BYOD आव्हानाचा सामना केला जाऊ शकत नाही. व्यवस्थापित नसलेल्या उपकरणांसाठी Captive Portal चा वापर करून, विद्यापीठ विद्यार्थ्यांना 802.1X सेटिंग्ज व्यक्तिचलितपणे कॉन्फिगर करण्याची आवश्यकता न ठेवता १००% प्रमाणपत्र कव्हरेज प्राप्त करते, ज्यामुळे हेल्पडेस्क तिकिटांचा मोठा ओघ टळतो.

शैक्षणिक वर्षाच्या पहिल्या आठवड्यात, विद्यापीठाच्या हेल्पडेस्कला तक्रारी मिळतात की विद्यार्थी त्यांच्या लॅपटॉपसह WiFi ला कनेक्ट करू शकतात, परंतु वसतिगृहातील त्यांचे स्मार्ट स्पीकर्स आणि गेमिंग कन्सोल 802.1X नेटवर्कशी कनेक्ट होऊ शकत नाहीत. नेटवर्क आर्किटेक्टने याचे निवारण कसे करावे?

आर्किटेक्टने हेडलेस (स्क्रीन नसलेल्या) उपकरणांसाठी MAC Authentication Bypass (MAB) लागू करणे आवश्यक आहे. स्मार्ट स्पीकर्स आणि कन्सोलमध्ये 802.1X सप्लीकंट नसल्यामुळे, ते SCEP पेलोडवर प्रक्रिया करू शकत नाहीत किंवा क्लायंट प्रमाणपत्र सादर करू शकत नाहीत. विद्यापीठाने सेल्फ-सर्व्हिस डिव्हाइस नोंदणी पोर्टल तैनात केले पाहिजे जेथे विद्यार्थी त्यांच्या विद्यापीठ क्रेडेन्शियल्ससह लॉग इन करतात आणि त्यांच्या IoT उपकरणांचे MAC पत्ते प्रविष्ट करतात. RADIUS सर्व्हर MAB द्वारे हे नोंदणीकृत MAC पत्ते स्वीकारण्यासाठी आणि त्यांना विद्यार्थ्याच्या विशिष्ट पर-रूम VLAN मध्ये नियुक्त करण्यासाठी कॉन्फिगर केला जातो.

परीक्षकाचे भाष्य: हा उपाय नेटवर्कचे विभाजन राखून हेडलेस IoT उपकरणांच्या तांत्रिक मर्यादेचे निराकरण करतो. सेल्फ-सर्व्हिस पोर्टलचा वापर करून, IT टीम व्यक्तिचलितपणे MAC पत्ते प्रविष्ट करण्याचे टाळते, ज्यामुळे वसतिगृहातील हजारो ग्राहक उपकरणांसाठी या उपायाचा विस्तार करणे सुलभ होते.

सराव प्रश्न

Q1. तुमची युनिव्हर्सिटी EAP-TLS तैनात करत आहे. तुम्ही SCEP गेटवे आणि MDM प्रोफाइल कॉन्फिगर केले आहेत. तथापि, जेव्हा चाचणी डिव्हाइसेस सुरक्षित SSID शी कनेक्ट करण्याचा प्रयत्न करतात, तेव्हा कनेक्शन शांतपणे अपयशी ठरते. RADIUS लॉग दर्शवतात की क्लायंट प्रमाणपत्र वैध आहे, परंतु डिव्हाइस सर्व्हर नाकारत आहे. सर्वात संभाव्य कॉन्फिगरेशन त्रुटी कोणती आहे?

टीप: परस्पर प्रमाणीकरणाच्या (mutual authentication) आवश्यकता आणि सर्व्हरवर विश्वास ठेवण्यासाठी डिव्हाइसला कशाची गरज आहे याचा विचार करा.

नमुना उत्तर पहा

MDM ट्रस्टेड सर्टिफिकेट प्रोफाइल बहुधा गहाळ आहे किंवा चुकीचे कॉन्फिगर केले आहे. EAP-TLS मध्ये, परस्पर प्रमाणीकरणासाठी डिव्हाइसने RADIUS सर्व्हरच्या प्रमाणपत्राची पडताळणी करणे आवश्यक आहे. जर डिव्हाइसच्या विश्वसनीय स्टोअरमध्ये Root CA प्रमाणपत्र स्थापित केलेले नसेल, तर ते सर्व्हरच्या प्रमाणपत्राचे प्रमाणीकरण करू शकत नाही आणि संभाव्य इव्हिल ट्विन अटॅक टाळण्यासाठी कनेक्शन खंडित करेल.

Q2. एक विद्यार्थी तक्रार करतो की त्याचा लॅपटॉप, जो BYOD पोर्टलद्वारे यशस्वीरित्या नोंदणीकृत झाला होता आणि ज्याच्याकडे वैध क्लायंट प्रमाणपत्र आहे, त्याने युनिव्हर्सिटी डिरेक्टरी पासवर्ड बदलल्यानंतर तो नेटवर्कवर प्रवेश करू शकत नाही. हे कोणत्या आर्किटेक्चरल त्रुटीचे संकेत देते?

टीप: EAP-TLS प्रमाणीकरण पूर्णपणे प्रमाणपत्रावर अवलंबून असते, पासवर्डवर नाही.

नमुना उत्तर पहा

हे दर्शवते की नेटवर्क प्रत्यक्षात EAP-TLS वापरत नाही, तर कदाचित PEAP-MSCHAPv2 किंवा इतर पासवर्ड-आधारित प्रोटोकॉलवर परत जात आहे (falling back). जर खरे EAP-TLS कॉन्फिगर केले असेल, तर RADIUS सर्व्हर प्रमाणपत्राच्या क्रिप्टोग्राफिक स्वाक्षरीचे प्रमाणीकरण करतो, ज्यामुळे नेटवर्क ॲक्सेस डिरेक्टरी पासवर्डपासून पूर्णपणे स्वतंत्र होतो. नेटवर्क आर्किटेक्टने RADIUS सर्व्हरवर कठोर EAP-TLS धोरणे लागू केली पाहिजेत आणि फॉलबॅक प्रोटोकॉल अक्षम केले पाहिजेत.

Q3. सत्राच्या पहिल्या आठवड्यात, RADIUS सर्व्हरवर उच्च CPU वापर आणि मधूनमधून टाइमआउट त्रुटी येत आहेत, ज्यामुळे मोठ्या प्रमाणावर प्रमाणीकरण अपयश येत आहे. एकूण समवर्ती सत्रांसाठी (concurrent sessions) सर्व्हर पुरेसे सुसज्ज आहेत. टाइमआउट कशामुळे होत आहे?

टीप: प्रारंभिक कनेक्शन टप्प्यादरम्यान पासवर्ड तपासणे आणि प्रमाणपत्र साखळीचे प्रमाणीकरण करणे यामधील संगणकीय ओव्हरहेडमधील फरकाचा विचार करा.

नमुना उत्तर पहा

परतणाऱ्या विद्यार्थ्यांच्या सुरुवातीच्या ऑथेंटिकेशन वादळात (authentication storm) EAP-TLS क्रिप्टोग्राफिक हँडशेकच्या भारी संगणकीय ओव्हरहेडमुळे हे टाइमआउट होत आहेत. आर्किटेक्टने वायरलेस ॲक्सेस पॉइंट्सवर (उदा. Cisco Meraki किंवा HPE Aruba) RADIUS टाइमआउट मूल्य किमान ५ सेकंदांपर्यंत वाढवले पाहिजे जेणेकरून विलंब (latency) सामावून घेता येईल, आणि सर्व RADIUS नोड्सवर प्रारंभिक पूर्ण-प्रमाणीकरण विनंत्यांचे समान रीतीने लोड बॅलन्सिंग होत असल्याची खात्री करावी लागेल.

या मालिकेमध्ये पुढे वाचा

Per-Device PSK by Vendor: iPSK, DPSK, MPSK आणि PPSK ची तुलना (आणि WPA3 Support)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, आणि Ubiquiti UniFi मधील per-device PSK अंमलबजावणीची सर्वसमावेशक तुलना. WPA3-SAE चा per-device की धोरणांवर कसा परिणाम होतो आणि ट्रान्झिशन मोड कधी वापरायचा विरुद्ध 802.1X वर कधी स्थलांतरित करायचे ते जाणून घ्या.

मार्गदर्शिका वाचा →

Captive Portal ऑथेंटिकेशन पद्धतींची तुलना

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक पाच मुख्य Captive Portal ऑथेंटिकेशन पद्धतींच्या आर्किटेक्चरल, ऑपरेशनल आणि कम्प्लायन्स तडजोडींचे मूल्यमापन करते. हे नेटवर्क आर्किटेक्ट्स, IT डायरेक्टर्स आणि मार्केटिंग मॅनेजर्सना एंटरप्राइझ ठिकाणी गेस्ट ऑनबोर्डिंगमधील अडचणी आणि डेटा-संकलन आवश्यकतांमध्ये संतुलन राखण्यासाठी आवश्यक असलेला परिमाणात्मक डेटा आणि निर्णय फ्रेमवर्क प्रदान करते.

मार्गदर्शिका वाचा →

MAC Address Authentication म्हणजे काय? ते कधी वापरावे आणि कधी टाळावे

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi वातावरणातील MAC ऍड्रेस ऑथेंटिकेशन कव्हर करते — RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 वर कसे काम करते, त्याच्या अंगभूत सुरक्षा भेद्यता (MAC स्पूफिंग आणि OS-स्तरीय MAC रँडमायझेशनच्या प्रभावासह), आणि अचूक ऑपरेशनल संदर्भ जिथे ते IoT आणि हेडलेस उपकरणांचे व्यवस्थापन करण्यासाठी एक वैध साधन राहते. हे हॉस्पिटॅलिटी, रिटेल, हेल्थकेअर आणि सार्वजनिक क्षेत्रातील व्हेन्यूजमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी रिअल-वर्ल्ड उदाहरणे, निर्णय फ्रेमवर्क्स आणि Purple च्या अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसाठी इंटिग्रेशन संदर्भासह कृतीयोग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करते.

मार्गदर्शिका वाचा →