Продолжение эпопеи c PIX и сертификаты

Задача стояла следующая, при подключнии необходимо, чтобы разным групам пользователей, выдавался разный пул ип адресов. Недельное вдумчивое копание интернетов, вывело меня на доки:
http://www.dslreports.com/faq/8420
и
http://crazyvlan.blogspot.com/2008/02/vpn-and-radius-with-cisco-asa-and.html
ага, сказали русские суровые мужики и отложили freeradius в сторонку с параметрами
ip:addr-pool=vpnpool2
ipsec:addr-pool=vpnpool2
был скреативен следующий конфиг:

group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
group-lock value DefaultRAGroup
address-pools value vpnpool
group-policy group2 internal
group-policy group2 attributes
group-lock value group2
address-pools value vpnpool2
username bear password mXfNI9aNT4.z2f.6 encrypted
tunnel-group DefaultRAGroup general-attributes
address-pool vpnpool
authentication-server-group vpn
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
trust-point CA1
tunnel-group group2 type remote-access
tunnel-group group2 general-attributes
address-pool (inside) vpnpool2
authentication-server-group vpn
authentication-server-group (inside) vpn
authorization-server-group vpn
authorization-server-group (inside) vpn
accounting-server-group vpn
default-group-policy group2
tunnel-group group2 ipsec-attributes
trust-point CA1

но все равно, подключится не получалось, выдавало ошибку вида:
Feb 15 09:27:15 [IKEv1]: Group = DefaultRAGroup, Username = vasya, IP = 217.xxx.143.200, Tunnel Rejected: User (vasya) not member of group (DefaultRAGroup), group-lock check failed.
Feb 15 09:27:15 [IKEv1]: Group = DefaultRAGroup, Username = vasya, IP = 217.xxx.143.200, Removing peer from peer table failed, no match!
Feb 15 09:27:15 [IKEv1]: Group = DefaultRAGroup, Username = vasya, IP = 217.xxx.143.200, Error: Unable to remove PeerTblEntry

прописывание класса в Remote Access Policy OU=group2, эфекта не дало, но навело на мысль, что надо бы глянуть, что творится в сертификатах
и точно, не было в Subject сертифката описан параметр OU, как только я его добавил - сразу все заработало, начали выдаватся ип адреса из разных пулов.