রেডিয়াস এবং ওয়াইফাই প্রমাণীকরণ কীভাবে কাজ করে তা নিয়ে প্রাথমিক প্রশ্নগুলি


11

আমি দক্ষিণ আফ্রিকার একটি উচ্চ বিদ্যালয়ের একটি নেটওয়ার্ক অ্যাডমিন, একটি মাইক্রোসফ্ট নেটওয়ার্কে চলছে। আমাদের ক্যাম্পাসের আশেপাশে প্রায় 150 পিসি রয়েছে, যার মধ্যে কমপক্ষে ১৩০ টি নেটওয়ার্কে ওয়্যার থাকে। বাকি স্টাফ ল্যাপটপ। সমস্ত আইপি ঠিকানা একটি ডিএইচসিপি সার্ভার ব্যবহার করে নির্ধারিত হয়।

বর্তমানে, আমাদের ওয়াই-ফাই অ্যাক্সেস এমন কয়েকটি স্থানে সীমাবদ্ধ যেখানে এই কর্মীরা রয়েছেন। আমরা একটি দীর্ঘ কী দিয়ে ডাব্লুপিএ ব্যবহার করছি যা শিক্ষার্থীদের জন্য উপলব্ধ নয়। আমার জানা মতে, এই কীটি নিরাপদ।

তবে রেডিয়াস অথেনটিফিকেশনটি ব্যবহার করা আরও তাত্পর্যপূর্ণ হবে তবে এটি অনুশীলনে কীভাবে কাজ করে তা সম্পর্কে আমার কিছু প্রশ্ন রয়েছে।

  1. ডোমেনে যুক্ত হওয়া মেশিনগুলি কী Wi-Fi নেটওয়ার্কে স্বয়ংক্রিয়ভাবে প্রমাণীকরণ করবে? নাকি এটি ব্যবহারকারী ভিত্তিক? এটা উভয় হতে পারে?
  2. কোনও পিএসপি / আইপড টাচ / ব্ল্যাকবেরি / ইত্যাদি / এর মতো ডিভাইসগুলি যদি রেডিয়াস প্রমাণীকরণ ব্যবহার করে তবে ওয়াইফাই নেটওয়ার্কের সাথে সংযোগ রাখতে সক্ষম হবে? আমি এটা ঘটতে চাই।

আমার কাছে এমন ওয়াপস রয়েছে যা রেডিয়াস প্রমাণীকরণকে সমর্থন করে। আমার কেবল একটি এমএস 2003 সার্ভার থেকে রেডিয়াস কার্যকারিতা চালু করা দরকার।

মোবাইল-ডিভাইসের প্রয়োজনীয়তা দেওয়া, একটি বন্দি-পোর্টাল ব্যবহার করা আরও ভাল কি হতে পারে? আমি বিমানবন্দরগুলির অভিজ্ঞতা থেকে জানি যে এটি করা সম্ভব (যদি ডিভাইসে ব্রাউজার থাকে)।

যা আমাকে ক্যাপটিভ পোর্টালগুলি সম্পর্কিত প্রশ্নে নিয়ে আসে:

  1. আমি কী বন্দী পোর্টালটি কেবলমাত্র Wi-Fi সংযুক্ত ডিভাইসে সীমাবদ্ধ রাখতে পারি? আমি বিদ্যমান সমস্ত নেটওয়ার্ক মেশিনের জন্য ম্যাক অ্যাড্রেস ব্যতিক্রমগুলি সেট করতে চাই না (আমার বোঝার ভিত্তিতে এটি কেবল ম্যাক অ্যাড্রেস স্পোফিংয়ের সুযোগ বাড়িয়ে দেয়)।
  2. এটি কিভাবে হয়? আমার কাছে ওয়াইফাই অ্যাক্সেস ডিভাইসের জন্য আলাদা ঠিকানা ঠিকানা রয়েছে এবং তারপরে দুটি নেটওয়ার্কের মধ্যে বন্দী পোর্টাল রুট হবে? জোর দেওয়া জরুরী যে ডাব্লুএইপিগুলি অন্যান্য মেশিনগুলির সাথে একটি শারীরিক নেটওয়ার্ক ভাগ করে নেয় যা বন্দীদ্বন্দ্বী নয়।

আপনার অভিজ্ঞতা এবং অন্তর্দৃষ্টি প্রশংসা করা হবে!

ফিলিপ

সম্পাদনা করুন: ক্যাপটিভ পোর্টালটি এমনকি সম্ভবপর কিনা সে সম্পর্কে আরও কিছুটা স্পষ্টতার জন্য, আমি এই প্রশ্নটি জিজ্ঞাসা করেছি ।

উত্তর:


6

ওয়াইফাইয়ের জন্য ব্যবহারকারী প্রমাণীকরণ 802.1x প্রোটোকল ব্যবহার করে।
ডিভাইসগুলির সাথে সংযোগ স্থাপনের জন্য ডাব্লুপিএ অনুরোধ প্রয়োজন যেমন সিকিউরডাব্লু
2 আপনি যে অনুরোধটি ব্যবহার করেন তার উপর নির্ভর করে আপনি উইন্ডোজ ডোমেন লগইন / পাসওয়ার্ড সহ একটি এসএসও করতে সক্ষম হবেন বা না করতে পারবেন।
আইফোন এবং আইপড টাচ ডাব্লুপিএ অনুরোধে নির্মিত হয়েছে। আমি পিএসপি / বিবির জন্য জানি না। SecureW2 এর একটি উইন্ডোজ মোবাইল সংস্করণ রয়েছে।

আমি নিশ্চিত যে আপনি কেবল আইপি নেটওয়ার্ক তৈরি না করেই ওয়াইফাইয়ের জন্য একটি বন্দী পোর্টাল সক্ষম করতে পারবেন I'm আপনাকে কেবল একটি ভ্লানে ওয়্যারলেস অ্যাক্সেস রাখতে হবে এবং অন্য ভ্যানেতে তারযুক্ত অ্যাক্সেসের পরে উভয় ভ্লানের মধ্যে পোর্টালটি রাখতে হবে। এটি স্বচ্ছ ফায়ারওয়ালের মতো।

802.1x কম্পিউটারে একটি প্রার্থনা করা প্রয়োজন। যদি কম্পিউটারগুলিতে ওয়াইফাই ব্যবহার করা প্রয়োজন তাদের জানা থাকলে আপনাকে কেবল তাদের উপর অনুরোধ স্থাপন করতে হবে এবং এটি একটি দুর্দান্ত সমাধান। আপনি যদি নিজের ওয়্যারলেস অ্যাক্সেসটিকে ভিজিটর বা এমন জিনিসগুলির দ্বারা অ্যাক্সেসযোগ্য করে তুলতে চান তবে এটি দুঃস্বপ্ন হতে পারে কারণ তাদের অনুরোধ ইত্যাদি প্রয়োজন etc

একটি ক্যাপটিভ পোর্টালটি কিছুটা কম সুরক্ষিত এবং প্রত্যেকবার তারা সংযুক্ত হওয়ার সময় ম্যানুয়ালি প্রমাণীকরণের জন্য ব্যবহারকারী প্রয়োজন। এটি কিছুটা উদাসীন হতে পারে।

আমার দৃষ্টিকোণ থেকে একটি ভাল সমাধান খুব উভয় আছে। একটি 802.1x অ্যাক্সেস যা আপনাকে একই রকম দেয় যেন আপনি ল্যানে ওয়্যারড হয়েছিলেন এবং একটি বন্দী পোর্টাল যা আপনাকে কম জিনিসগুলিতে অ্যাক্সেস দেয় (ইন্টারনেট বন্দর 80 এ প্রবেশাধিকার, স্থানীয় লেনে সীমিত অ্যাক্সেস, ...)


5

আমার কিছুটা WIFI অভিজ্ঞতা আছে - অনেকগুলি ক্যাম্পাস মোতায়েন করেছে: মিশিগান বিশ্ববিদ্যালয়, লাস ভেগাস শহর, বিভিন্ন হোটেল এবং অ্যাপার্টমেন্ট কমপ্লেক্স ....

আপনার ক্লায়েন্টরা কোনও রেডিয়াস সার্ভারের সাথে সরাসরি কথা বলে না। 802.1x সক্ষম এপি (অ্যাক্সেস পয়েন্ট) ক্লায়েন্টের পক্ষে এটি করে। আসলে, আপনাকে 802.1x বাস্তবায়ন সমর্থন করার জন্য রেডিয়াসের দরকার নেই।

1. আমি কি বন্দি পোর্টালটি কেবলমাত্র Wi-Fi সংযুক্ত ডিভাইসে সীমাবদ্ধ রাখতে পারি? আমি বিদ্যমান সমস্ত নেটওয়ার্ক মেশিনের জন্য ম্যাক অ্যাড্রেস ব্যতিক্রমগুলি সেট করতে চাই না (আমার বোঝার ভিত্তিতে এটি কেবল ম্যাক অ্যাড্রেস স্পোফিংয়ের সুযোগ বাড়িয়ে দেয়)।

ম্যাক স্পুফিং কেবলমাত্র ক্লায়েন্টের সহযোগীদের পরে করা যায়। সুতরাং এখানে আপনার উদ্বেগ এমন হওয়া উচিত নয় যেহেতু প্রথমে অ্যাসোসিয়েশন ছাড়া কোনও ওয়াইফাই নেটওয়ার্কে প্রতারক হতে পারে না। আপনি WPA বা WPA2 এবং অন্যদের মাধ্যমে সমিতি নিয়ন্ত্রণ করেন ...

2. এটি কীভাবে করা হয়? আমার কাছে ওয়াইফাই অ্যাক্সেস ডিভাইসের জন্য আলাদা ঠিকানা ঠিকানা রয়েছে এবং তারপরে দুটি নেটওয়ার্কের মধ্যে বন্দী পোর্টাল রুট হবে? জোর দেওয়া জরুরী যে ডাব্লুএইপিগুলি অন্যান্য মেশিনগুলির সাথে একটি শারীরিক নেটওয়ার্ক ভাগ করে নেয় যা বন্দীদ্বন্দ্বী নয়।

আপনি এটি করতে পারেন তবে আপনি কী অর্জন করবেন বলে আমি নিশ্চিত নই? আপনি কেন নিজের ওয়্যার্ড ক্লায়েন্টদের থেকে আপনার ওয়াইফাই অ্যাক্সেস আলাদা করার প্রয়োজন মনে করেন? দ্রষ্টব্য: ভিএলএএনএস কোনও সুরক্ষা ব্যবস্থা নয় !!!

আপনার সমাধান নির্ভর করে আপনার কী ধরনের এপি রয়েছে এবং যদি তারা ডাব্লুপিএ 2 সমর্থন করে। ধরে নিই যে তারা করে, আমি যা করব তা আপনার পরিস্থিতির দুটি বিষয়গুলির মধ্যে একটি:

গ্রুপ নীতি এবং ফায়ারওয়ালের মাধ্যমে ডাব্লুপিএ-পিএসকে স্থাপন করুন এবং ল্যান অ্যাক্সেস নিয়ন্ত্রণ করুন। আমি ওয়াইফাই "জোন" সাবনেট করব এবং আপনার প্রয়োজনীয় অভ্যন্তরীণ ফিল্টারিংয়ের জন্য রাউটার এসিএলগুলি ব্যবহার করব। এনটিএলএম এই দিনগুলিতে বেশ সুরক্ষিত। এটি আমার প্রথম পদ্ধতির হবে। যদি আপনি এটি করতে না পারার কারণ থাকে তবে আপনি কেন এটি বলতে আপনার মূল পোস্টে যথেষ্ট পরিমাণে প্রসারিত হয়নি ...

আমার ২ য় পন্থাটি তখন ৮০২.১x এর দিকে নজর দেবে - বর্ণিত হিসাবে এটি আপনার প্রয়োজনের জন্য ওভারকিল হিসাবে উপস্থিত হবে তবে কোনও কর্মচারী সংস্থা ছেড়ে চলে যাওয়ার সময় প্রশাসককে স্বাচ্ছন্দ্য বোধ করবে ... তারা চলে যাওয়ার পরে যদি তারা ল্যাপটপগুলি চালু করে, তবে বিকল্প -১ (ডাব্লুপিএ-পিএসকে) যথেষ্ট ভাল বলে মনে হচ্ছে। আপনি যদি নিজের মধ্যে রাখার পরিবর্তে পিএসকে ছেড়ে দেন তবে এই বিকল্পটি পছন্দ করা হয়েছে - আমার ধারণা।

এমনকি যদি শেষ ব্যবহারকারীরা কোনওরকম বহিরাগতদের সাথে পিএসকে ভাগ করে নেয় তবে আপনার ল্যান শেষের পয়েন্টগুলি এখনও এনটিএলএম, এসিএল এবং ফায়ারওয়ালের মাধ্যমে সুরক্ষিত ...

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.