server inner-tunnel {
    listen {
        type = auth
        ipaddr = 127.0.0.1
        port = 18120
    }

    authorize {
        # Obtener credenciales del usuario desde el API (debe devolver Cleartext-Password)
        rest_inner
        # Fallback/local: también consultar backend 'files' (user1/user2)
        files
        # Procesar EAP (PEAP) y MS-CHAPv2
        eap
        mschap
    }

    authenticate {
        eap
        Auth-Type MS-CHAP {
            mschap
        }
    }

    post-auth {
        # Nada aquí; el outer post-auth añadirá VLAN
    }
}
