Собсна, адинэсники знают всё. Даже то, чего не знают. А мистяне - тем более. А их тут больше чем адинэсников.
Но не в этом ссуть.
ССуть в том, что есть Debian Squeeze. На нём L2TP/IPSec сервер (Openswan + xl2tpd). Авторизация виндовая (в локалке контроллер домена на Win 2008 R2 Server Ent).

В /etc/ppp/options.l2tpd прописано

plugin winbind.so
ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1"

Всё работает отлично. Виндовая аутентификация рулит и педалит. НО !!!!11
Как только я юзеру выставляю галочку "Требовать смены пароля при следующем входе в систему" - он тут же перестаёт логиниться, а в /etc/var/log/l2tpd.log появляется вот такое:

rcvd [CHAP Response id=0x32 <d563902ad0e0a7a6b50f5a24a54633a000000000000000004cd6ad7145acef450ad3a9adffd08de3017c7c7aa8347a7900>, name = "test"]
Winbind has declined authentication for user!
Must change password
Peer test failed CHAP authentication
sent [CHAP Failure id=0x32 "E=691 R=1 C=e4eeada1b0a76f8b4176c154928d560f V=0 M=Must change password"]
sent [LCP TermReq id=0x3 "Authentication failed"]
rcvd [LCP TermAck id=0x3 "Authentication failed"]
Connection terminated.

Что делать ?

Ну и где вы, гуры Линукса и Венды ?
Шляетесь по темам с сиськами, да спасибопутенузаэто обсуждаете ?
Позорники.

PPTPD + Radius(NPS) Win2008R2
Оно, конечно, не совсем по теме, но может на какую мысль натолкнет(правильную)...

(2) Спасибо за участие, но на мысли не наталкивает. :-(

покажи конфиги чтоли. твой запрос расчитан на тех, кто сталкивался точно с такой же ситуацией. очевидно здесь таких нет.