При настройке PAM аутентификации:
Если запускать radius как сервис, то аутентификация не работает, в логах:
# systemctl start radiusd.service
$ radtest user 123 localhost 1218 testing123
Access-Reject

radiusd[4098]: pam_tcb(radiusd:auth): Credentials for user user unknown
radiusd[3826]: pam_tcb(radiusd:auth): Authentication failed for UNKNOWN USER from (uid=460)


Если запустить radiusd в режиме отладки, то аутентификация работает:
# radiusd

$ radtest user 123 localhost 1218 testing123
Access-Accept

radiusd[4119]: pam_tcb(radiusd:auth): Authentication passed for user from user(uid=0)

Вся разница в том, что в первом случае radiusd, запущен от пользователя radiusd
а во втором от root.

В файле /etc/raddb/radiusd.conf, можно было бы задать пользователя/группу от чьего имени запускать radiusd, но только в том случае, если служба запускается от root, иначе при изменении имени/группы в /etc/raddb/radiusd.conf, служба не стартует.

Из файла /etc/raddb/radiusd.conf:
«Radiusd is run as the name of this user.
    If commented out, the server will run as the user that started it. In order to change to a different user, the server MUST be started as root (or have root privileges).
 On systems with shadow passwords, group = shadow might need to be set for the server to be able to read the shadow password file. If users can be authenticated while in debug mode, but not while in daemon mode, then it may be that the debugging mode server is running as a user that can read the shadow info and that the user listed below cannot.»

Можно сделать так, чтобы в настройках службы был указан root, а в файле /etc/raddb/radiusd.conf:
user = radiusd
group = radiusd
?
Тогда и служба будет по умолчанию запущена от radiusd и редактировать только конфиг radiusd можно будет.