Было дано:
 - Домен на Windows2003 с поднятым Kerberos.
 - FreeBSD на шлюзе, куда должны были подключаться пользователи.
 - VPN-демон mpd.

Задача: заставить mpd брать пароли из домена.

Решение:

 - Ставим третью самбу с поддержкой кербероса.
 - Настраиваем керберос
 - Подсоединяем самбу в домен.
 - Оставляем от нее только winbindd 
 - Ставим freeradius.
 - Сцепляем радиус с самбой.
 - Скручиваем mpd с радиусом и настраиваем сам mpd.

Итог: управляем учетными записями VPN-пользователей через обычные средства AD, 
а не пишем руками данные в файл. 

Примечание1. Документация гласит, что можно связать радиус с керберосом. 
То есть теоретически можно отказаться от самбы. Я так не делал, 
поскольку подцепить через самбу мне лично было проще.

Примечание2. Если использовать poptop, то можно не использовать 
радиус, а использовать ntlm_auth из самбы. Тоже вариант.


Файлы конфигурации: https://www.opennet.ru/base/net/mpd_win2003.txt.html