ক্লায়েন্টের বিধিনিষেধ
আইওএস ক্লায়েন্ট সমর্থন করবে না EAP-TTLS
সঙ্গে PAP
(শুধুমাত্র MsCHAPv2
) যদি না আপনি নিজে (ক কম্পিউটার এর মাধ্যমে) একটি প্রোফাইল ইনস্টল করুন।
উইন্ডোজ ক্লায়েন্টগুলিEAP-TTLS
আউট অফ-বক্সকে সমর্থন করবে না (আপনার নিরাপদ 2w এর মতো একটি সফ্টওয়্যার ইনস্টল করতে হবে), যদি না তাদের কাছে ইন্টেল ওয়্যারলেস কার্ড থাকে।
অ্যান্ড্রয়েডEAP
এবং এর প্রায় সব সংমিশ্রণ সমর্থন করে PEAP
।
পাসওয়ার্ড ডাটাবেস বিধিনিষেধ
সুতরাং, আসল সমস্যাটি হল আপনার পাসওয়ার্ডগুলি কীভাবে সংরক্ষণ করা হয়।
যদি তারা এতে থাকে:
সক্রিয় ডিরেক্টরি , তারপরে আপনি EAP-PEAP-MsCHAPv2
(উইন্ডোজ বাক্স) এবং EAP-TTLS-MsCHAPv2
(আইওএস ক্লায়েন্ট সহ ) ব্যবহার করতে পারেন ।
আপনি যদি এলডিএপ-এ পাসওয়ার্ড সঞ্চয় করেন EAP-TTLS-PAP
তবে আপনি (উইন্ডোজ বাক্স) ব্যবহার করতে পারেন তবে আপনি iOS সম্পর্কে হারিয়ে যাবেন।
গুরুত্বপূর্ণ সুরক্ষা উদ্বেগ
- উভয়
EAP-TTLS
এবং PEAP
ব্যবহার TLS
(ট্রান্সপোর্ট লেয়ার সিকিউরিটি) উপর EAP
(এক্সটেনসেবল প্রমাণীকরণ প্রোটোকল)।
আপনি যেমন জানেন যে TLS
এটি একটি নতুন সংস্করণ SSL
এবং বিশ্বস্ত কেন্দ্রীয় কর্তৃপক্ষের (শংসাপত্র কর্তৃপক্ষ - সিএ) স্বাক্ষরিত শংসাপত্রগুলির ভিত্তিতে কাজ করে।
একটি TLS
টানেল স্থাপন করতে , ক্লায়েন্টকে অবশ্যই এটি সঠিক সার্ভারের সাথে কথা বলার বিষয়টি নিশ্চিত করতে হবে (এই ক্ষেত্রে, ব্যবহারকারীদের অনুমোদনের জন্য ব্যাসার্ধের সার্ভার ব্যবহার করা হয়েছে)। এটি এটি করে যে সার্ভার কোনও বিশ্বস্ত সিএ দ্বারা জারি করা বৈধ শংসাপত্র উপস্থাপন করেছে কিনা তা যাচাই করে does
সমস্যাটি হ'ল: সাধারণত, আপনার কাছে বিশ্বস্ত সিএ দ্বারা জারি করা শংসাপত্র থাকবে না, তবে কেবলমাত্র এই উদ্দেশ্যে আপনি তৈরি করেছেন এমন একটি অ্যাড-হক সিএ জারি করে। অপারেশনাল সিস্টেম ব্যবহারকারীদের কাছে অভিযোগ করবে যে এটি জানে না যে সিএ এবং ব্যবহারকারীরা (আপনার দ্বারা অভিযুক্ত) আনন্দের সাথে এটি গ্রহণ করবে।
তবে এটি একটি বড় সুরক্ষার ঝুঁকি তৈরি করেছে:
কেউ আপনার ব্যবসায়ের ভিতরে একটি দুর্বৃত্ত এপি সেটআপ করতে পারেন (ব্যাগে বা এমনকি ল্যাপটপেও), নিজের ব্যাসার্ধ সার্ভারের সাথে কথা বলার জন্য এটি কনফিগার করতে পারেন (তার ল্যাপটপে বা নিজস্ব দুর্বৃত্ত এপিতে) running
যদি আপনার ক্লায়েন্টরা এই এপিটিকে আরও শক্তিশালী সিগন্যাল পেতে থাকে তবে আপনার অ্যাক্সেস পয়েন্টগুলি, তারা এর সাথে সংযোগ দেওয়ার চেষ্টা করবে। একটি অজানা সিএ দেখতে পাবেন (ব্যবহারকারীরা গ্রহণ করবেন), একটি TLS
সুড়ঙ্গ স্থাপন করবে, এই টানেলটিতে প্রমাণীকরণের তথ্য প্রেরণ করবে এবং দুর্বৃত্ত ব্যাসার্ধ এটি লগ করবে।
এখন গুরুত্বপূর্ণ অংশ: আপনি যদি সরল পাঠ্য প্রমাণীকরণের স্কিম ব্যবহার করেন ( PAP
উদাহরণস্বরূপ), দুর্বৃত্ত ব্যাসার্ধের সার্ভারটিতে আপনার ব্যবহারকারীর পাসওয়ার্ডগুলির অ্যাক্সেস থাকবে।
আপনি আইওএস, উইন্ডোজ (এবং অ্যান্ড্রয়েড) বিশ্বাস উভয়ই একটি শংসাপত্র কর্তৃপক্ষ দ্বারা জারি করা একটি বৈধ শংসাপত্র ব্যবহার করে এটি সমাধান করতে পারেন। অথবা, আপনি সিএ রুট শংসাপত্রগুলি আপনার ব্যবহারকারীদেরকে বিতরণ করতে পারেন এবং শংসাপত্রের সমস্যাগুলি দেখলে সংযোগ অস্বীকার করতে তাদের অবহিত করতে পারেন (এর সাথে সৌভাগ্য)।