WPA Enterprise авторизация только паролем

А смысл в чём? Может, ещё и пароль общий на всех?

Так смысл wpa-eap в том что у каждого абонента свой логин/пароль и ты их можешь по одному добавлять/отключать ну или разные правила fw/qos применять.

Ну да. Действительно! Когда просили не пиз.... разглогольствовать о смысле бытия, почему бы этим и не заняться. Да?
Я уж было надеялся что мозги у людей ещё остались. Ан нет...

Отвечаю сам себе.
Нашёл к hostapd в конфигурации такой ключ как wpa_psk_radius

WPA passphrase can be received from RADIUS authentication server
This requires macaddr_acl to be set to 2 (RADIUS)

полагаю, если настроить все ещё WPAx-PSK но с радиусом и этими ключами, и немного пошаманить с логикой авторизации в freeRADIUS, то можно получить в качестве логина мак адрес железки, а пароль все тот же PSK пароль.
И вроде как у каждого свой. И железки привязаны к пользователям.

Да не то же самое, но на первых парах - пойдёт.

Я думаю в freeRADIUS можно описать что если МАС не известен, но пароль «гостевой», то перебросить авторизацию в гостевой VLAN. Что тоже закроет немного гемора. Но это уже другая история.

Отвечу сам себе.
Сегодня опробовал выше предположенное. И оно работает. За малым но - не работает в контексте WPA3 он же SAE.
У hostapd чего то не так написано в сравнении пароля полученного с RADIUS. Ну по крайней мере у того что у меня оказался собранным в системе.
Но если использовать WPA2, то все как ожидалось.

Как всегда понятным языком ничего внятного не нашлось, где то это называют PPSK методом авторизации где то ваще никак не называют. А уж как это конфигурить в hostapd ваще квест:)

Если кому интересно, как нить разложу по полочкам как это вышло у меня...