Isso é mais uma resposta aos comentários do que a pergunta, mas colocando-a aqui para que eu possa formatá-la:
Você pode usar a entrada DEFAULT em seu arquivo de usuários junto com um huntgroup para corresponder aos usuários com base no nome de usuário fornecido.
O primeiro passo seria executar o radiusd no modo de depuração radiusd -X e capturar o formato no qual o nome de usuário aparece quando estiver autenticando como usuário logado, iirc é algo como / hostname $ / account.
Você pode especificar o grupo de busca em $raddbdir/huntgroups usando uma expressão regular:
badusers User-Name =~ ^aregex.*$
Em seguida, adicione o huntgroup a uma regra com um tipo de retorno de rejeição de acesso no arquivo users .
DEFAULT Huntgroup-Name == badusers, Auth-Type := Reject
Se isso fará com que o Windows solicite um nome de usuário e uma senha, depende do seu NAS e do suplicante WPA do Windows.