Private Pre-Shared Key (簡稱 PPSK) 是一個不複雜且可管理個人用戶端裝置的加密方案。
使用 PPSK 後,每個使用者會被分配不同的密碼進行連線驗證,且允許將密碼綁定至設備 MAC 位址,只讓指定設備透過密碼驗證連線。
使用 PPSK,您可以建立 PPSK 列表並將它們套用至多個無線網路,讓您可省去重複設定相同參數的時間。
1. PPSK 介紹
Omada SDN 控制器支援兩種 PPSK: PPSK without RADIUS 和 PPSK with RADIUS。
- PPSK without RADIUS: 在 Omada SDN 控制器上建立 PPSK 設定檔。
- PPSK with RADIUS:
- 將 EAP 作為網路連結伺服器(Network Access Server ),您需要在 RADIUS 伺服器建立用戶端以允許 EAP 傳送驗證請求。
- 當用戶端連接 SSID 時,EAP 使用用戶端的 MAC 位址 (格式為 "xx:xx:xx:xx:xx") 作為 RADIUS 使用者和使用者密碼,送出的 PPSK 作為 Tunnel-password 並傳送資訊至 RADIUS 伺服器進行驗證。因此,您需要使用適當的格式在 RADIUS Server 上建立使用者。
2. PPSK without RADIUS 設定流程
首先,在 Settings --> Profiles --> PPSK 新增 PPSK 設定檔,為設定檔命名並手動、自動或匯入以新增 PPSK。請參考使用手冊以取得 PPSK 設定檔的更多資訊。
如下圖建立 PPSK,名稱取為「TP-Link」用以辨識此設定,而用戶端連接 Wi-Fi 的密碼設為「tplink123」
若您在 PPSK 輸入 MAC 位址,表示只有該 MAC 位址的用戶端可使用該組密碼進行驗證。若您設定 VLAN assignment,用戶端將在驗證成功後被分配至對應的 VLAN。
建立 PPSK 設定檔後,請至 Settings --> Wireless Networks 建立新的無線網路,並選擇 PPSK without RADIUS 和上面步驟設定的 PPSK 設定檔。
3. PPSK with RADIUS 設定流程
步驟 1. 設定 RADIUS Server。
這裡我們在一台 Linux Server 上執行 FreeRADIUS®,如需安裝和設定資訊,請參考 FreeRADIUS 文件。
首先,編輯 “clients.conf” 檔,此處我們假設 EAP 在網路 192.168.0.0/24 中,且 EAP 和 RADIUS server 之間共用通訊的密碼為「tplink」,接著「clients.conf」檔設定如下:
下一步,編輯「users」檔,建立三個 PPSK 設定檔的設定如下。
- 當用戶端 MAC 位址為「xx:xx:xx:xx:xx:xx」,在 PPSK 驗證時輸入「xxx_tplink」才能驗證成功,連接無線網路。
- 當用戶端 MAC 位址為「yy:yy:yy:yy:yy:yy」,在 PPSK 驗證時輸入「yyy_tplink」才能驗證成功,並連接至 VLAN 10 的網路。
- 當未知 MAC 位址的用戶端連線時輸入預設密碼「default」,將連接至 VLAN 20 的「Guest」網路。
步驟 2. 建立 RADIUS 設定檔。
前往 Settings --> Authentication --> RADIUS Profile,建立新的設定檔,綁定至 RADIUS 伺服器。如有需要,請勾選「Enable VLAN Assignment for Wireless Network」。
步驟 3. 為 VLAN assignments 建立多個介面(依需求,可設可不設)
前往 Settings --- Wired Networks --- LAN,分別建立兩個介面,VLAN10 和 VLAN20。
步驟 4. 建立由 PPSK with RADIUS 加密的無線網路
前往 Settings – Wireless Networks 如下圖建立無線網路。