Есть сервер с радиусом настроенный на авторизацию в АД через winbind krb5-config. Это работает Настроил в радиусе проверку группы в АД. Если включаю в /etc/freeradius/sites-enabled/inner-tunnel параметр ldap он начинает делать проверку на принадлежность к группе в АД, НО при этом перестает делать проверку логин пароль MSCHAP. Иными словами когда включаю проверку по группе он проверяет ТОЛЬКО принадлежность к группе и не смотрит уже на пароль и пускает если логин принадлежит нужной группе. Хотелось бы что бы он делал две проверки: проверку логин пароль в АД и принадлежность к группе.
Подскажите где копать...