一個 Wi-Fi,多組登入帳號密碼:以 RADIUS 為例
背景需求
大部分的使用情景之下,都是一個 Wifi SSID 配一個密碼,只要把這個密碼告昭天下,就大家都能連進來。這個就是常見的 WPA-PSK(Wifi Protected Access Pre-Shared Key),使用同一組預先分享的密碼(PSK)。
如果我想要做到同一個 SSID,但不同的使用者要各自用自己的密碼連線,有什麼辦法呢?可以用 PPSK(Private PSK),每個人配發到屬於他的 PSK,這樣方便做使用者管理。假若我想跟某個人斷絕關係(?),就停掉某組密碼就好,不需要改整組 Wifi 密碼,其他的人照常使用就好。
那如果我想做到同一個 SSID,不同的使用者要用自己的帳號+密碼來連線呢,例如這樣:

那就可能要用到 WPA-Enterprise + RADIUS 的配置了。你問 PPSK 用密碼來區分、跟 RADIUS 用帳號+密碼來區分,有什麼差別嗎?其實最一開始這步沒什麼太大差異。但走 RADIUS 後,後續有更豐富的可玩性,比如說可以跟現有的 M365 帳號做聯動。
此例中,我們使用多台 tp-link 的 AP 組成 ESS(Extended Service Set),並外掛一個 controller 集中管理,做到同一個 SSID 全場漫遊,但反正視為一組很大的 Wifi AP 就好。而 RADIUS 伺服器使用 DrayTek 路由器的自帶功能,所以 tp-link 此時作為 RADIUS 客戶端。
順帶一提,以前 tp-link omada 系列好像有自帶 RADIUS 功能,但現在被拔掉了,所以只好另外配置咯。
AP 端設定
首先我們在 controller 這邊建立一個新的 SSID:

要用 RADIUS 就必須選擇 WPA-Enterprise:

在 RADIUS 設定中,
Authentication Server填入 DrayTek 的 IP 位置。Authentication Port預設是 1812,不需更改,DrayTek 端也要使用同一個。Authentication Password這邊自行設置,但注意一下這玩意兒,等等在 DrayTek 那邊叫做…… ”Shared Secret”。你們的用詞差那麼多,我很頭疼欸。

RADIUS 伺服器端設定
DrayTek 若作為 RADIUS Client 可以選 External RADIUS 來進行,但我們此處要作為 RADIUS Server,所以選擇 Internal RADIUS。
雖然我們是多台 AP 組成的 ESS,由 controller 管理,但這裡還是要乖乖地每一台 AP 的 IP 都加入 Client List 中。其中,Shared Secret 就是剛剛的 ”Authentication Password”。

如何管理使用者呢?要到 User Profile 的頁面來設置:

最後將使用者添加到 Authentication List 中,完成。
