>[оверквотинг удален]
>непосредственно в запросе?
>
>4) CRL. Изначально конфигурил асу на прошивке 7.0(5). При настройке CRL наблюдались
>следующие траблы: точка распространения отозванных сертификатов через http, которая была прописана
>в выданном устройству сертификате содержала доменное имя. ASA успешно его разрешала
>в IP-адрес, но наотрез отказывалась его загружать. Проблему решила назначение точки
>CRL вручную, где вместо доменного имени был явно прописан ип-адрес. После
>обновления прошивки до 8.0(4), ASA наотрез отказывается подгружать crl в любом
>виде. Не могу понять, с чем это может быть связано. (С
>других хостов данный crl успешно загружается).

1.) исключительно для аутентификации peer-ов

2.) Все совершенно верно. Нужен шаблон и хитрое правило.

3.) ИМХО мудрите лишнее

4.) здесь ничего не скажу.

Вопрос такой... а нафиг вам freeradius? Этож гиморой с AD дружить. Да и ntlm не оч секьюрно.   Есть же виндовый IAS, который уже интегрирован с AD?
По крайней мере на 2008R2 в NAP это делается легко. А там, как я понял - тот же IAS, немного в другой оболочке. И инфраструктура однообразной будет.