Локальные учетные данные, используемые, когда доступен сервер radius sshd pam_radius

У меня есть настройка pam_radius, и она работает (centos6, pam_radius: 1.4.0-2.el6), я могу аутентифицироваться через сервер radius с помощью ssh. Что я пытаюсь сделать, так это то, что когда сервер RADIUS недоступен, я должен вернуться к локальной учетной записи. Эти два пароля различны (локальный и AD), так как AD имеет более строгую политику изменения пароля. Я пробовал несколько вещей: /etc/pam.d/sshd[1215 providedauth достаточно отладки pam_radius_auth.so
auth include password-auth

Теперь это работает, пока сервер radius (как определено в "/etc/pam_radius.conf") недоступен (используется неверный IP-адрес в pam_radius.conf).
Задача начинается, когда сервер RADIUS действительно доступен, я могу войти в систему, используя как радиус, так и локальные учетные данные.
У меня два вопроса.

1. Я неправильно понимаю сбой модуля (PAM), сбой также может быть неудачной аутентификацией, например, неправильным паролем, или когда пользователь не является действительным или присутствует на сервере AD. Что подразумевается под отказом модуля?
2. Есть ли способ настроить это так, как я бы хотел? т.е. вернуться к локальной аутентификации только при сбое соединения с RADIUS-сервером?

Или ... может быть, нормальный метод - не иметь локальных паролей и использовать резервную учетную запись, которая не является учетной записью AD, чтобы при сбое всех действий эта учетная запись может быть использован. тогда возникает вопрос, как предотвратить использование этой учетной записи людьми, когда доступен радиус.