VPNの認証サーバーを構築しようとしています。
以下についてご教示頂けないでしょうか。

FreeRADIUSとopenLDAPはyumでインストールしました。

構成:

 PC(Windows7) → CiscoASAルータ → Freeradius(3.0.13) → OpenLDAP(2.4.44)

できること:

 OpenLDAPで登録したユーザーとパスワードを使用して、PC(Windows7)からのVPN認証はOK  

困っていること:

 OpenLDAPの ppolicy でパスワードの有効期限(maxPwdage)を設定しているが、
 パスワードの有効期限が切れた状態でもVPN認証ができてしまう。

知りたいこと:

 FreeradiusからOpenLDAPへの接続では OpenLDAPの ppolicy は効かない(無視される)?

   →ldapsearchコマンドなどでは "password expire" となり、ppolicy が効いていることは確認済み。

 ppolicy 以外で、パスワード有効期限切れの際にVPN認証できないようにする方法はありますか?

FreeRADIUSの各設定ファイルの変更点を記載いたします。

・/etc/raddb/radiusd.conf
    auth = yes 
    auth_badpass = yes
    auth_goodpass = yes

・/etc/raddb/users
    #DEFAULT        Framed-Protocol == PPP
    #       Framed-Protocol = PPP,
    #       Framed-Compression = Van-Jacobson-TCP-IP

    #DEFAULT        Hint == "CSLIP"
    #       Framed-Protocol = SLIP,
    #       Framed-Compression = Van-Jacobson-TCP-IP

    #DEFAULT        Hint == "SLIP"
    #       Framed-Protocol = SLIP

    DEFAULT         Auth-Type = LDAP
                    Fall-Through = Yes

・/etc/raddb/dictionary
    VALUE         Auth-Type               LDAP    5

・/etc/raddb/sites-enabled/default
            ldap

            Auth-Type LDAP {
                    ldap
            }

            ldap

・/etc/raddb/mods-enabled/ldap
            server = 'server01.radius.local'

            port = 389

            identity = 'cn=admin,dc=radius,dc=local'
            password = password

            base_dn = 'dc=radius,dc=local'

追加で必要な情報がありましたら取得しますので、言ってください。