ASA 5520 VPN L2TP assegnazone IP al client via Win AD

[valfredini]

Sto diventando matto :

Una VPN Client to site :
client nativo win XP L2TP il terminatore Cisco ASA5520 (ver8.x)

La VPN viene su con il certificato macchina del client XP (la CA e' su windows AD ed ha rilasciato un certificato anche per l'ASA)

In VPN lo user e' autenticato correttamente via AD e certificato che e' su di un token USB (emesso dalla stessa CA di prima)

Problema :
vorrei assegnare un ip diverso ad ogni user leggendolo dalle proprieta' dialin/remote access di AD . Non c'e' verso riesco solo a dare un ip con l'IP POOL dell' ASA se invece dico che l'IP lo deva dare l'authentication server (RADIUS su Windows IAS) esso non viene rilasciato.
Non si capisce come mai IAS riesce a autenticare lo user da AD ma non a prendere l' IP da AD e passarlo al client.
Cosa sbaglio ?

Come ulteriore info sto usando IAS (Window Internet authentication Sever) come RADIUS e authenticazione EAP/Smartcard .

La struttura IAS e' doppia ovvero uno IAS fa da proxy radius e un altro
che e' sul Domain Controller parla con AD e passa idati indietro al proxy che poi li passa all' ASA.

Spero che qualcuno mi dica che sto sbagliando una cosa banale.

grazie