Nastavení WPA ověřování na WiFi sítích už je poměrně standard. Obvykle se nastaví jedno heslo, které pak platí pro všechny. Co když však chceme použít přihlašování podobně jako do domény? Možné to je a odpověď je WPA Enterpise.
Co budeme potřebovat?
Základním předpokladem je, že musíme mít AP/Router, který vůbec WPA Enterprise ověřování podporuje. Pokud používáte zařízení od Ubiqiti pak se celé řešení zjednodušuje díky Unifi controlleru, který umí nastavit všechny AP z jednoho místa.
Druhým předpokladem je RADIUS server na síti. Možností jak ho zprovoznit je opět více, např. jako servisu na routeru Ubiquiti USG, na NAS serveru od Synology, jako službu na Windows Serveru atd.
[eckosc_status_message title=“Upozornění“ icon=““ type=“warn“ message=“Nezapomeňte, že musíte všechny AP, které budou RADIUS používat pro ověřování přidat do seznamu klientů RADIUS serveru“]Níže uvedený návod je pak pro produkty od Ubiqiti, nicméně princip je poměrně obecný a odlišnosti by neměly být velké.
Vytvoření nové WiFi s WPA Enterprise ověřováním
Spustíme si Unifi controller, v Settings vybereme Wireless Networks a klikneme na Create new wireless network.
Zadáme následující nastavení:
- New/SSID – název nové WiFi sítě
- Enabled – nacháme zatrhnuto
- Security – vybereme WPA Enterprise
- RADIUS Profile – vybereme profil pro již existující RADIUS server, popř. vytvoříme nový
- ostatní necháme beze změny a dáme Save
Nějakou dobu potrvá zpropagování změny na všechny AP, ale jakmile to bude hotovo, měli bychom vidět novou WiFi.
Připojení se k WiFi
Postup připojení není nějak extrémně odlišný, jen místo zadání pouze hesla budeme muset zadat dvojici Username/Password – tedy náš uživatelský účet na Radius.
Pokud využíváme např. Radius na Synology pak to bude stejný účet jako se přihlašujeme na NASku.
Po kliknutí na Join nám vyskočí ještě jedna neobvyklá hláška v podobě informace o certifikátu. Tu jen potvrdíme pomocí Continue a měli bychom být připojení.
Proč použít WPA Enteprise
V klasickém domácím použití nejsou přínosy až tak velké, ale benefit ocení zejména ve firmách,
Např. každý nový zaměstnanec má možnost přihlásit se do firemní WiFi stejným účtem jako do domény, bez toho aniž by mu někdo sděloval heslo.
Podobně když naopak odchází není potřeba se strachovat, že by se připojoval do WiFi i nadále jelikož jednoduše zakážeme účet v doméně a automaticky má zrušený i přístup do WiFi.
Dekuji za navod – hodi se i v domacim prostredi 🙂