Na verdade, tenho essa configuração exata na minha rede. Tudo o que você precisa fazer é adicionar cada AP como "Cliente RADIUS Confiável" no NPS e configurar as outras configurações como quiser. Na UniFi, basta adicionar as informações corretas (IP e segredo) para que ele comece a funcionar.
Ao conectar-se com clientes Windows pelo menos, você precisará configurar cada um para não validar o certificado do servidor se você não tiver um certificado confiável instalado ou se a associação falhar.