Помогите понять как устроен и работает FreeRADIUS…

Помогите понять как устроен и работает FreeRADIUS…
Под катом мои наблюдения и соображения.

Когда-то давно успешно настроил freeradius + freenibs по мануалам, особо не вникая что он делает, и как работает.
Теперь стоит обратная задача :)

Разбирая конфиг радиуса, и копаясь в его структуре понял следующее:
(поправьте меня в тех местах, где я заблуждаюсь)

1) радиус почти на каждый чих имеет по модулю, который выполняет одну или несколько следующих вещей сразу: аутентификацию, авторизацию, аккаунтинг, и еще несколько редких действий.

2) модули, хоть и имеют одинаковый интерфейс к программе, служат разным целям

3) конфиг радиуса состоит из нескольких частей, как то:
modules {} — настройка параметов модулей
authorize {}
authenticate {}
accounting {}
и нескольких менее важных.

4) в зависимости от того, в какой части (authorize, authenticate, accounting) стоит имя модуля — вызывается соответствующая его функция… Т.е. модуль может выступать и в роли аутентификатора, и авторизатора, и еще и заниматься учетом.

Так вот возникает ряд вопросов:

1) чем отличаются authorize и authenticate. какое действие делают модули, описанные соответственно, в каждом из них.

2) есть модули pap, chap, mschap — не пойму откуда они берут данные для аутентификации? и делают ли они вообще аутентификацию юзера. или все таки авторизацию? я путаю эти понятия.

3) собственно откуда возникла вообще надобность разобраться с радиусом: необходимо сделать внешнюю аутентификацию через стороннюю программу. известно, что на вход ей нужно подавать логин, и пароль пользователя, а она уже на выходе сработает как модуль радиуса — вернет 0, 1,… и пары атрибутов. Для этого нашел модуль exec — но почему-то простейшая программа в теле которой только int main(...){exit(0);} не авторизует пользователей.

Буду благодарен за любые комментарии и разъяснения относительно того, как работает фрирадиус.
Может быть по результатам понимания всего этого в своей голове напишу статью.