1. Поднимаем на Windows Server роль Network Policy Server.

Эту роль можно поднимать на контроллере домена согласно официальным рекомендациям. Экономим на сетевых взаимодействиях, т.к. RADIUS будет обращаться к AD напрямую, минуя сеть.

2. Создаем группу в AD, которая будет использоваться для авторизации и добавляем в неё нужных юзеров.

3. Добавляем pfSense в качестве RADIUS-клиента в оснастке NPS: указываем его IP, создаем секрет - как показаано на скриншоте.

4. Добавляем политику доступа. Ключевые параметры можно посмотреть на скриншоте, среди них: группа, авторизацию в AD юзеров которой - будем проверять (в conditions выбираем именно users group, а не windows groups), параметры проверки (MS-CHAP V.2), а также атрибут типа class, соответствующий тому же имени группы.

5. На pfSense заходим в раздел: System > User Manager > Authentication Servers и добавляем новый RADIUS-сервер, который мы настроили с параметрами соответствующими тем, что мы указали в роли NPS.

Важно указать правильный NAS IP Attribute (интерфейс, адрес которого pfSense будет передавать в протоколе), соответствующий IP-адресу, указанному в оснастке NPS. Если этого не сделать - рискуем получить отказ принимать пакеты со стороны Windows NPS.

6. Проверить авторизацию можно в разделе pfSense Diagnostics > Authentication.

Пример: