802.1X Supplicant म्हणजे काय? क्लायंटचे प्रकार आणि डिव्हाइस कॉन्फिगरेशन
या मार्गदर्शकामध्ये एंटरप्राइझ WiFi ऑथेंटिकेशनमधील 802.1X supplicant च्या भूमिकेचे स्पष्टीकरण दिले आहे. यामध्ये तांत्रिक आर्किटेक्चर, नेटिव्ह OS supplicants ची थर्ड-पार्टी क्लायंट्ससोबत तुलना आणि EAP-TLS व PEAP उपयोजित करणाऱ्या IT टीम्ससाठी व्यावहारिक कॉन्फिगरेशन मार्गदर्शन समाविष्ट आहे.
हे मार्गदर्शक ऐका
पॉडकास्ट ट्रान्सक्रिप्ट पहा
- मुख्य सारांश (Executive Summary)
- सखोल तांत्रिक माहिती (Deep Tech Dive)
- 802.1X चे तीन घटक
- EAP पद्धती: Supplicant ची भाषा
- अंमलबजावणी मार्गदर्शक
- मूळ OS सप्लिकंट्स (Native OS Supplicants)
- थर्ड-पार्टी सप्लिकंट सॉफ्टवेअर (Third-Party Supplicant Software)
- सर्व्हर प्रमाणपत्र पडताळणी कॉन्फिगर करणे
- सर्वोत्तम पद्धती
- त्रुटी निवारण आणि जोखीम कमी करणे
- ROI आणि व्यावसायिक प्रभाव

मुख्य सारांश (Executive Summary)
जेव्हा एखादे डिव्हाइस एंटरप्राइझ नेटवर्कशी कनेक्ट होते, तेव्हा त्याची ओळख सिद्ध करण्यासाठी 802.1X supplicant हा सॉफ्टवेअर घटक जबाबदार असतो. मोठ्या ठिकाणांवरील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी, हेल्पडेस्क तिकिटे तयार न करता सुरक्षित नेटवर्क ॲक्सेस मिळवण्यासाठी supplicant कसे कार्य करते हे समजून घेणे अत्यंत आवश्यक आहे. हे मार्गदर्शक IEEE 802.1X ऑथेंटिकेशनमधील डिव्हाइस-साइड एजंटचे रहस्य उलगडते, ज्यामध्ये मूळ OS क्षमतांची तुलना थर्ड-पार्टी supplicant सॉफ्टवेअरशी केली आहे. आपण EAP-TLS आणि PEAP-MSCHAPv2 साठी supplicants कसे कॉन्फिगर करायचे हे तपासणार आहोत, हॉस्पिटॅलिटी आणि रिटेलमधील वास्तविक उपयोजन परिस्थितींचा शोध घेणार आहोत आणि ॲक्सेस ऑप्टिमाइझ करण्यासाठी योग्य supplicant कॉन्फिगरेशन आयडेंटिटी-बेस्ड नेटवर्कशी (Identity-Based Networks) कसे समाकलित होते याचे तपशील पाहणार आहोत. तुम्ही 200 खोल्यांचे हॉटेल व्यवस्थापित करत असाल किंवा 80,000 पेक्षा जास्त आसने असलेले सक्रिय ठिकाण, सुरक्षित, विश्वासार्ह WiFi तयार करण्यासाठी योग्य supplicant कॉन्फिगरेशन हा एक महत्त्वाचा पाया आहे.
सखोल तांत्रिक माहिती (Deep Tech Dive)
IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क ॲक्सेस नियंत्रण परिभाषित करते. हे एका सोप्या गृहीतकावर कार्य करते: एखादे डिव्हाइस आपली ओळख सिद्ध करेपर्यंत नेटवर्कच्या टोकावर सर्व ट्रॅफिक ब्लॉक करणे. या प्रक्रियेमध्ये supplicant हा क्लायंट-साइडचा भागीदार असतो.
802.1X चे तीन घटक
ऑथेंटिकेशनसाठी तीन स्वतंत्र घटकांची आवश्यकता असते:
- Supplicant: क्लायंट डिव्हाइस (लॅपटॉप, स्मार्टफोन किंवा टॅब्लेट) जे नेटवर्क ॲक्सेसची विनंती करत आहे.
- Authenticator: नेटवर्क ॲक्सेस डिव्हाइस, जसे की Cisco Meraki, HPE Aruba, Ruckus, किंवा Juniper Mist ॲक्सेस पॉइंट.
- Authentication Server: RADIUS सर्व्हर जो Microsoft Entra ID किंवा Okta सारख्या आयडेंटिटी प्रदाताच्या विरूद्ध क्रेडेंशियल्सची पडताळणी करतो.
ऑथेंटिकेशनच्या आधी, authenticator चे पोर्ट अनधिकृत स्थितीत असते, ज्यामध्ये फक्त Extensible Authentication Protocol over LAN (EAPOL) ट्रॅफिकला परवानगी दिली जाते. Supplicant ही प्रक्रिया EAPOL-Start फ्रेमसह सुरू करतो. Authenticator ओळखीची विनंती करतो आणि supplicant त्याला प्रतिसाद देतो. ही ओळख RADIUS सर्व्हरकडे पाठवली जाते, जो वापरायची EAP पद्धत ठरवतो. यशस्वी पडताळणीनंतर, RADIUS सर्व्हर Access-Accept संदेश पाठवतो, पोर्ट अधिकृत स्थितीत बदलते आणि डिव्हाइस सामान्यतः विशिष्ट VLAN ला नियुक्त केले जाते.

EAP पद्धती: Supplicant ची भाषा
Supplicant आणि RADIUS सर्व्हरने Extensible Authentication Protocol (EAP) पद्धतीवर सहमत असणे आवश्यक आहे. EAP पद्धतीची निवड सुरक्षा स्थिती आणि supplicant वरील कॉन्फिगरेशनचा भार ठरवते.
EAP-TLS (Transport Layer Security) EAP-TLS ला प्रमाणपत्र-आधारित परस्पर प्रमाणीकरण (mutual authentication) आवश्यक आहे. सप्लिकंट त्याची ओळख सिद्ध करण्यासाठी क्लायंट प्रमाणपत्र प्रदान करतो आणि RADIUS सर्व्हर नेटवर्कची वैधता सिद्ध करण्यासाठी सर्व्हर प्रमाणपत्र प्रदान करतो. ही पासवर्ड-मुक्त पद्धत क्रेडेन्शियल चोरी दूर करते आणि NIST SP 800-171 सारख्या कठोर सुरक्षा फ्रेमवर्कद्वारे आवश्यक आहे. सप्लिकंट हे जारी करणाऱ्या सर्टिफिकेट ऑथॉरिटी (CA) वर विश्वास ठेवण्यासाठी आणि वैध क्लायंट प्रमाणपत्र धारण करण्यासाठी कॉन्फिगर केलेले असणे आवश्यक आहे.
PEAP (Protected EAP) ज्या परिस्थितीमध्ये संपूर्ण पब्लिक की इन्फ्रास्ट्रक्चर (PKI) व्यवहार्य नसते, तिथे PEAP मोठ्या प्रमाणावर वापरले जाते. हे एका सुरक्षित TLS बोगद्यामध्ये अंतर्गत प्रमाणीकरण पद्धत (सहसा MSCHAPv2) समाविष्ट करते. RADIUS सर्व्हर प्रमाणपत्र प्रदान करतो, परंतु सप्लिकंटला फक्त युझरनेम आणि पासवर्ड प्रदान करणे आवश्यक असते. जरी PEAP तैनात करणे सोपे असले, तरी सप्लिकंट सर्व्हर प्रमाणपत्राची पडताळणी करण्यासाठी काटेकोरपणे कॉन्फिगर केलेले नसल्यास क्रेडेन्शियल कापणीसाठी ते अत्यंत असुरक्षित असते.
अंमलबजावणी मार्गदर्शक
802.1X तैनात करताना, IT टीम्सना ऑपरेटिंग सिस्टममध्ये तयार केलेले मूळ (native) सप्लिकंट वापरणे किंवा थर्ड-पार्टी सप्लिकंट सॉफ्टवेअर तैनात करणे यापैकी एक निवडणे आवश्यक आहे.
मूळ OS सप्लिकंट्स (Native OS Supplicants)
प्रत्येक आधुनिक ऑपरेटिंग सिस्टममध्ये मूळ 802.1X सप्लिकंट समाविष्ट असते. Windows हे Wired AutoConfig आणि WLAN AutoConfig सेवांचा वापर करते. Apple उपकरणे Network Profiles चा वापर करतात. Android हे त्याच्या WiFi सेटिंग्जमध्ये समाविष्ट करते.
मूळ सप्लिकंट्स हे व्यवस्थापित उपकरणांसाठी (managed fleets) आदर्श आहेत. Microsoft Intune किंवा Jamf सारख्या मोबाईल डिव्हाइस मॅनेजमेंट (MDM) प्लॅटफॉर्मचा वापर करून, IT ॲडमिन्स सुलभतेने कॉन्फिगरेशन प्रोफाइल पाठवू शकतात जे SCEP द्वारे SSID, EAP पद्धत, विश्वसनीय रूट CAs आणि प्रमाणपत्र नोंदणी प्रक्रिया परिभाषित करतात. वापरकर्त्याचा अनुभव सुलभ असतो; डिव्हाइस पार्श्वभूमीत प्रमाणीकृत होते.
थर्ड-पार्टी सप्लिकंट सॉफ्टवेअर (Third-Party Supplicant Software)
थर्ड-पार्टी सप्लिकंट्स, जसे की Cisco AnyConnect Network Access Manager किंवा SecureW2 JoinNow, विशिष्ट परिस्थितींमध्ये आवश्यक असतात:
- प्रोप्रायटरी प्रोटोकॉल: Cisco EAP-FAST वापरण्यासाठी Cisco सप्लिकंट आवश्यक आहे.
- BYOD ऑनबोर्डिंग: थर्ड-पार्टी टूल्स सहसा ऑनबोर्डिंग सहाय्यक म्हणून काम करतात, जे वापरकर्त्यांना अनमॅनेज्ड उपकरणांवर प्रमाणपत्रे स्थापित करण्यासाठी मार्गदर्शन करतात जिथे मूळ कॉन्फिगरेशन क्लिष्ट असते (विशेषतः खंडित Android वातावरणात).
- कठोर कॉन्फिगरेशन नियंत्रण: थर्ड-पार्टी सप्लिकंट्स सेटिंग्ज लॉक करू शकतात, ज्यामुळे वापरकर्ते सर्व्हर प्रमाणपत्र पडताळणी अक्षम करण्यापासून रोखले जातात.

सर्व्हर प्रमाणपत्र पडताळणी कॉन्फिगर करणे
निवडलेल्या सप्लिकंटची पर्वा न करता, सर्व्हर प्रमाणपत्र पडताळणी कॉन्फिगर करणे अत्यंत महत्त्वाचे आहे, विशेषतः PEAP साठी. जर सप्लिकंट RADIUS सर्व्हरच्या प्रमाणपत्राची पडताळणी करत नसेल, तर ते तुमच्या SSID चे अनुकरण करणाऱ्या फसव्या ॲक्सेस पॉइंटवर आंधळेपणाने क्रेडेन्शियल्स पाठवेल. Windows मध्ये, याचा अर्थ PEAP गुणधर्मांमध्ये "Verify the server's identity by validating the certificate" टिक करणे, Trusted Root Certification Authority (Root CA) निवडणे आणि क्लायंटने ज्या अचूक सर्व्हर नावांची अपेक्षा ठेवली पाहिजे ती निर्दिष्ट करणे असा होतो. Apple उपकरणांवर, कॉन्फिगरेशन प्रोफाइलमध्ये स्पष्टपणे विश्वसनीय प्रमाणपत्रांची सूची असणे आवश्यक आहे.
सर्वोत्तम पद्धती
- सर्व्हर प्रमाणीकरण लागू करा: PEAP तैनात करताना, RADIUS सर्व्हर प्रमाणपत्र प्रमाणित करण्यासाठी सप्लिकंट्स कॉन्फिगर केल्याशिवाय कधीही असे करू नका. "evil twin" हल्ल्यांविरुद्धचा हा मुख्य संरक्षणात्मक मार्ग आहे.
- प्रमाणपत्र जीवनचक्र स्वयंचलित करा: EAP-TLS वापरताना, SCEP किंवा NDES चा वापर करून MDM द्वारे क्लायंट प्रमाणपत्र नोंदणी आणि नूतनीकरण स्वयंचलित करा. मॅन्युअल प्रमाणपत्र व्यवस्थापन टिकत नाही आणि यामुळे अचानक प्रमाणीकरण अपयशी ठरू शकते.
- ओळख आधारावर वेगळे करा: प्रमाणित ओळखीच्या आधारावर VLANs नियुक्त करण्यासाठी RADIUS गुणधर्मांचा वापर करा. कर्मचाऱ्यांची उपकरणे आणि POS टर्मिनल्सनी त्याच SSID वर प्रमाणीकृत केले पाहिजे परंतु ते पूर्णपणे भिन्न VLANs वर गेले पाहिजेत.
- IoT साठी नियोजन: बऱ्याच IoT उपकरणांमध्ये 802.1X सप्लिकंट्स नसतात. या उपकरणांसाठी, MAC Address Bypass (MAB) वापरा, परंतु ते समर्पित IoT VLAN वर काटेकोरपणे वेगळे ठेवले गेल्याची खात्री करा.
त्रुटी निवारण आणि जोखीम कमी करणे
जेव्हा एखादे उपकरण कनेक्ट करण्यात अपयशी ठरते, तेव्हा समस्या बहुधा क्लायंट कॉन्फिगरेशन किंवा प्रमाणपत्र साखळीमध्ये असते.
- "कनेक्ट केलेले आहे, इंटरनेट नाही": हे सहसा VLAN असाइनमेंट अपयश किंवा प्रमाणीकरणानंतरच्या DHCP समस्यांकडे निर्देश करते. Access-Accept संदेशामध्ये योग्य Tunnel-Private-Group-Id असल्याचे सत्यापित करण्यासाठी RADIUS लॉग तपासा.
- Windows 11 वर सुप्त अपयश: अलीकडील Windows 11 वैशिष्ट्य अद्यतनांनी (जसे की 24H2) मूळ सप्लिकंट EAP-TLS फॉलबॅक कसे हाताळतो ते बदलले आहे. व्यापक तैनातीपूर्वी नेहमी नवीन OS बिल्ड्सवर प्रोफाइलची चाचणी घ्या.
- प्रमाणपत्राची मुदत संपणे: उपकरणांचा समूह अचानक ऑफलाइन झाल्यास, क्लायंट प्रमाणपत्रांचा वैधता कालावधी तपासा. तुमचे MDM त्यांची मुदत संपण्यापूर्वी यशस्वीरित्या नूतनीकरण करत असल्याची खात्री करा.
ROI आणि व्यावसायिक प्रभाव
योग्यरित्या कॉन्फिगर केलेल्या सप्लिकंट्ससह 802.1X वर स्थलांतरित केल्याने मोजता येण्याजोगे व्यावसायिक मूल्य मिळते. सामायिक पासवर्ड (Pre-Shared Keys/PSK) काढून टाकून, कर्मचारी सोडून गेल्यावर पासवर्ड बदलण्याचा ऑपरेशनल खर्च तुम्ही पूर्णपणे काढून टाकता. EAP-TLS वर जाण्याने पासवर्ड-रीसेट तिकीट पूर्णपणे संपुष्टात येऊ शकतात, ज्यामुळे सर्व्हिस डेस्कसाठी लक्षणीय उत्पादक तास मोकळे होतात.
शिवाय, 802.1X एकाच SSID वर ओळख-आधारित नेटवर्क विलगीकरण सक्षम करते. Guest WiFi , कर्मचारी आणि ऑपरेशन्ससाठी स्वतंत्र नेटवर्क प्रसारित करण्याऐवजी, एकच SSID क्लायंट क्रेडेंशियल्सवर आधारित ट्रॅफिक सुरक्षितपणे रूट करू शकतो. हे चॅनेल हस्तक्षेप कमी करते आणि एकूण नेटवर्क कार्यप्रदर्शन सुधारते, जे थेट हार्डवेअर-अज्ञेयवादी नेटवर्क व्यवस्थापनासाठी Purple च्या क्लाउड ओव्हरले दृष्टिकोनाला समर्थन देते. सखोल विश्लेषणात्मक माहितीसाठी, आमचे WiFi Analytics वैशिष्ट्य एक्सप्लोर करा.
महत्वाच्या व्याख्या
802.1X Supplicant
क्लायंट डिव्हाइसवरील सॉफ्टवेअर घटक जो IEEE 802.1X सुरक्षित नेटवर्कमध्ये सामील होण्यासाठी आवश्यक ऑथेंटिकेशन प्रक्रिया हाताळतो.
एखादे डिव्हाइस नेटवर्कवर आपली ओळख कशी सिद्ध करते हे परिभाषित करण्यासाठी IT टीम्स supplicant कॉन्फिगर करतात.
Authenticator
नेटवर्क डिव्हाइस (स्विच किंवा ॲक्सेस पॉईंट) जे supplicant यशस्वीरित्या ऑथेंटिकेट होईपर्यंत ट्रॅफिक ब्लॉक करते.
Cisco Meraki किंवा HPE Aruba सारख्या विक्रेत्यांचे हार्डवेअर ऑथेंटिकेटर म्हणून काम करते, जे डिव्हाइस आणि सर्व्हर दरम्यान मेसेज पाठवते.
RADIUS
रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस. supplicant द्वारे प्रदान केलेली क्रेडेंशियल सत्यापित करणारा सर्व्हर.
RADIUS सर्व्हर ॲक्सेस देण्यापूर्वी Okta किंवा Microsoft Entra ID सारख्या डिरेक्ट्रीज विरुद्ध ओळख तपासतो.
EAP-TLS
ट्रान्सपोर्ट लेयर सिक्युरिटीसह एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल. एक ऑथेंटिकेशन पद्धत ज्यामध्ये क्लायंट आणि सर्व्हर दोन्हीच्या डिजिटल सर्टिफिकेटची आवश्यकता असते.
एंटरप्राइझ नेटवर्कसाठी सर्वात सुरक्षित पद्धत मानली जाते, ज्यामुळे पासवर्डची आवश्यकता नाहीशी होते.
PEAP
प्रोटेक्टेड एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल. एक ऑथेंटिकेशन पद्धत जी पासवर्ड-आधारित ऑथेंटिकेशन सुरक्षित करण्यासाठी एक सुरक्षित TLS टनेल तयार करते.
सामान्यतः BYOD वातावरणात वापरले जाते जेथे व्यवस्थापित न केलेल्या डिव्हाइसेसवर क्लायंट सर्टिफिकेट्स उपयोजित करणे अत्यंत गुंतागुंतीचे असते.
EAPOL
Extensible Authentication Protocol over LAN. Supplicant आणि authenticator दरम्यान EAP मेसेज एन्कॅप्स्युलेट करण्यासाठी वापरला जाणारा प्रोटोकॉल.
ऑथेंटिकेशनपूर्वी, EAPOL हा एकमेव ट्रॅफिकचा प्रकार आहे ज्याला ऑथेंटिकेटर पोर्टमधून परवानगी देतो.
MAC Authentication Bypass (MAB)
एक पर्यायी ऑथेंटिकेशन पद्धत जिथे नेटवर्क उपकरणाचा MAC address त्याची ओळख म्हणून वापरते.
प्रिंटर, कॅमेरा आणि IoT उपकरणांसाठी वापरले जाते ज्यांच्याकडे 802.1X supplicant नाही.
VLAN Assignment
ऑथेंटिकेट केलेल्या उपकरणाला डायनॅमिकली विशिष्ट व्हर्च्युअल नेटवर्क सेगमेंटवर ठेवण्याची प्रक्रिया.
RADIUS सर्व्हर supplicant च्या ओळखीच्या आधारावर ऑथेंटिकेटरला कोणत्या VLAN वर असाइन करायचे ते सांगतो.
सोडवलेली उदाहरणे
एक २०० खोल्यांच्या हॉटेलला त्यांच्या कर्मचाऱ्यांच्या नेटवर्कची सुरक्षा करायची आहे. सध्या ते शेअर केलेल्या पासवर्डसह WPA2-Personal वापरत आहेत, पण त्यांना आता 802.1X वर स्थलांतरित व्हायचे आहे. कर्मचारी शेड्युलिंगसाठी कंपनीच्या मालकीचे Windows लॅपटॉप आणि वैयक्तिक Android फोन यांचे मिश्रण वापरतात. त्यांनी supplicants कसे कॉन्फिगर करावेत?
हॉटेलने हायब्रीड दृष्टीकोन अवलंबला पाहिजे. कॉर्पोरेट Windows लॅपटॉपसाठी, त्यांनी Microsoft Intune द्वारे कॉन्फिगर केलेले नेटिव्ह Windows supplicant वापरावे. MDM प्रोफाइलने EAP-TLS सेटिंग्ज लागू केल्या पाहिजेत, Root CA इंस्टॉल केले पाहिजे आणि SCEP द्वारे क्लायंट सर्टिफिकेट एनरोलमेंट स्वयंचलित केले पाहिजे. वैयक्तिक Android फोनसाठी, त्यांनी सेल्फ-सर्व्हिस पोर्टलद्वारे थर्ड-पार्टी ऑनबोर्डिंग एजंट (उदा. SecureW2) उपयोजित केला पाहिजे. कर्मचारी त्यांच्या Microsoft Entra ID क्रेडेंशियलचा वापर करून पोर्टलमध्ये लॉग इन करतात आणि एजंट स्वयंचलितपणे PEAP-MSCHAPv2 साठी नेटिव्ह Android supplicant कॉन्फिगर करतो, ज्यामुळे सर्व्हर सर्टिफिकेट व्हॅलिडेशन सुरक्षितपणे लॉक केले जाईल याची खात्री होते.
५० स्टोअर्स असलेल्या एका मोठ्या रिटेल साखळीला नवीन मोबाईल पॉइंट-ऑफ-सेल (POS) टॅब्लेट सुरू करायचे आहेत. PCI DSS ला कठोर नेटवर्क अलगाव (isolation) आवश्यक आहे. supplicant कॉन्फिगरेशनने अनुपालन कसे सुनिश्चित करावे?
टॅब्लेट्सचे व्यवस्थापन MDM द्वारे केले पाहिजे. MDM नेटिव्ह supplicant कॉन्फिगरेशन प्रोफाइल पाठवते जे EAP-TLS सक्तीने लागू करते. प्रत्येक टॅब्लेटला एक अनन्य क्लायंट सर्टिफिकेट मिळते ज्यामध्ये त्याला POS डिव्हाइस म्हणून ओळखणारे गुणधर्म असतात. जेव्हा टॅब्लेटचे supplicant ऑथेंटिकेट होते, तेव्हा RADIUS सर्व्हर हे गुणधर्म वाचतो आणि विशेषतः PCI-अनुपालक नेटवर्क सेगमेंटसाठी VLAN असाइनमेंट परत करतो. स्टोअरमधील कर्मचारी नेटवर्क सेटिंग्जमध्ये बदल करू शकणार नाहीत यासाठी supplicant कॉन्फिगरेशन पूर्णपणे लॉक केले पाहिजे.
सराव प्रश्न
Q1. तुमची संस्था नवीन कर्मचारी BYOD नेटवर्कसाठी PEAP-MSCHAPv2 उपयोजित करत आहे. टेस्टिंग दरम्यान, तुमच्या लक्षात येते की उपकरणे त्याच SSID चे ब्रॉडकास्ट करणाऱ्या टेस्ट ऍक्सेस पॉईंटशी कनेक्ट होऊ शकतात, जरी ते तुमच्या RADIUS सर्व्हरशी जोडलेले नसले तरीही. कोणती supplicant कॉन्फिगरेशन पायरी वगळली गेली होती?
टीप: MSCHAPv2 क्रेडेंशियल पाठवण्यापूर्वी supplicant नेटवर्कची ओळख कशी सत्यापित करतो याचा विचार करा.
नमुना उत्तर पहा
सर्व्हर प्रमाणपत्र सत्यापित करण्यासाठी supplicant कॉन्फिगर केला गेला नव्हता. PEAP मध्ये, RADIUS सर्व्हरचे प्रमाणपत्र जारी करणाऱ्या विशिष्ट Root CA वर विश्वास ठेवण्यासाठी आणि सर्व्हरच्या डोमेन नावाची पडताळणी करण्यासाठी supplicant स्पष्टपणे कॉन्फिगर करणे आवश्यक आहे. याशिवाय, supplicant प्रमाणपत्र सादर करणाऱ्या कोणत्याही सर्व्हरसह TLS टनेल स्थापित करेल, ज्यामुळे वापरकर्त्याची क्रेडेंशियल बनावट ऍक्सेस पॉईंटच्या समोर उघडी पडतील.
Q2. एक विद्यापीठ त्यांचे व्यवस्थापित Windows लॅपटॉप फ्लीट PEAP कडून EAP-TLS वर स्थलांतरित करत आहे. ते MDM द्वारे नवीन कॉन्फिगरेशन प्रोफाइल पुश करतात, परंतु सर्व उपकरणे ऑथेंटिकेट होण्यास अपयशी ठरतात. RADIUS लॉग 'EAP-TLS failed SSL/TLS handshake' दाखवतात. याचे सर्वात संभाव्य कारण काय आहे?
टीप: EAP-TLS ला परस्पर ऑथेंटिकेशनची आवश्यकता असते. PEAP साठी क्लायंटला ज्याची आवश्यकता नव्हती अशी कोणती गोष्ट क्लायंटला आवश्यक आहे?
नमुना उत्तर पहा
क्लायंट उपकरणांकडे वैध क्लायंट प्रमाणपत्र नाही. EAP-TLS ला supplicant ने RADIUS सर्व्हरला प्रमाणपत्र सादर करणे आवश्यक आहे. MDM प्रोफाइल केवळ EAP पद्धत TLS वर सेट करण्यासाठीच नाही, तर ऑथेंटिकेशनचा प्रयत्न करण्यापूर्वी संस्थेच्या PKI कडून क्लायंट प्रमाणपत्राची विनंती करण्यासाठी आणि स्थापित करण्यासाठी SCEP सारख्या प्रोटोकॉलला ट्रिगर करण्यासाठी देखील कॉन्फिगर केलेले असणे आवश्यक आहे.
Q3. तुम्हाला [Healthcare](/industries/healthcare) वातावरणात ५० स्मार्ट टीव्ही नेटवर्कशी कनेक्ट करायचे आहेत. टीव्ही केवळ WPA2-Personal (Pre-Shared Key) ला सपोर्ट करतात आणि त्यांच्याकडे 802.1X supplicant नाही. कर्मचाऱ्यांच्या उपकरणांसाठी 802.1X राखत असताना तुम्ही त्यांचा ऍक्सेस कसा सुरक्षित कराल?
टीप: जर उपकरण EAP बोलू शकत नसेल, तर ऑथेंटिकेटरने ते दुसर्या मार्गाने ओळखले पाहिजे.
नमुना उत्तर पहा
तुम्ही MAC Authentication Bypass (MAB) वापरावे. ऑथेंटिकेटर RADIUS सर्व्हरला पाठवलेला युझरनेम आणि पासवर्ड म्हणून स्मार्ट टीव्हीचा MAC address वापरेल. MAC address स्पूफ केले जाऊ शकत असल्याने, RADIUS सर्व्हर या उपकरणांना अत्यंत प्रतिबंधित, आयसोलेटेड IoT VLAN वर नियुक्त करण्यासाठी कॉन्फिगर केलेला असणे आवश्यक आहे जे केवळ आवश्यक ट्रॅफिकला अनुमती देते.
या मालिकेमध्ये पुढे वाचा
Guest आणि Staff WiFi नेटवर्क्ससाठी RADIUS Authentication कॉन्फिगर करणे
हे तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ guest आणि staff WiFi नेटवर्क्ससाठी RADIUS authentication च्या आर्किटेक्चर, कॉन्फिगरेशन आणि डिप्लॉयमेंटची रूपरेषा स्पष्ट करते. हे नेटवर्क आर्किटेक्ट्स आणि IT मॅनेजर्सना सुरक्षित, स्केलेबल वायरलेस ॲक्सेस कंट्रोल सिस्टम्स तयार करण्यासाठी आवश्यक असलेले अचूक प्रोटोकॉल्स, सुरक्षा मानके आणि ट्रबलशूटिंग पद्धती प्रदान करते.
उच्च शिक्षणामध्ये सुरक्षित BYOD आणि नेटवर्क नोंदणीसाठी SCEP कसे लागू करावे
हे तांत्रिक मार्गदर्शक नेटवर्क आर्किटेक्ट्स आणि IT व्यवस्थापकांना उच्च शिक्षण संस्थांच्या कॅम्पस नेटवर्क सुरक्षित करण्यासाठी SCEP - आधारित प्रमाणपत्र नोंदणी तैनात करण्यासाठी विक्रेता - तटस्थ ब्लूप्रिंट प्रदान करते. हे पासवर्ड - आधारित PEAP वरून 802.1X EAP-TLS वर कसे स्थलांतरित करायचे, BYOD ऑनबोर्डिंग स्वयंचलित कसे करायचे आणि मजबूत VLAN विभाजन कसे लागू करायचे याचे तपशील देते.
Server RADIUS: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका
ही मार्गदर्शिका IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs ना एंटरप्राइझ WiFi साठी server RADIUS ऑथेंटिकेशनवर एक निश्चित तांत्रिक संदर्भ प्रदान करते. यामध्ये AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP पद्धत निवड, क्लाउड विरुद्ध ऑन-प्रिमाइसेस डिप्लॉयमेंटचे फायदे-तोटे आणि डायनॅमिक VLAN असाइनमेंट समाविष्ट आहे. आदरातिथ्य (hospitality), रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वेन्यू ऑपरेटर्सना असुरक्षित प्री-शेअर्ड की वरून सुरक्षित, ओळख-आधारित (identity-driven) नेटवर्क ऍक्सेस कंट्रोल आर्किटेक्चरमध्ये स्थलांतरित होण्यासाठी आवश्यक असणारे अंमलबजावणी मार्गदर्शन, वास्तविक जगातील केस स्टडीज आणि निर्णय घेण्याची फ्रेमवर्क मिळतील.