ASA5505 VPN über LDAP VPN-Gruppe Authentifizieren

VPN-Authentifizierung funktioniert, aber nicht über Gruppenzugehörigkeit

Hallo Zusammen,

ich bin gerade dabei bei einer Cisco ASA5505 die VPN Zugänge über LDAP einzurichten. Grundsätzlich funktioniert auch, doch leider ziehen die LDAP Attribute die ich in der Server-Group hinterlegt habe nicht. Die sieht so aus:
Customer Value: cn=cisco, ou=VPN-Gruppe, dc=company, dc=local

Ich will das nur die User sich per VPN verbinden können die Mitglieder in der Gruppe cisco sind.

Nur leider interessiert das die Firewall einen Feuchten. Es lassen sich per VPN sämtliche User Authentifizieren. Egal ob in der Gruppe cisco oder nicht. Hier die relevante Konf:

ldap attribute-map VPN-MAP
map-name memberOf IETF-Radius-Class
map-value memberOf "cn=cisco, ou=VPN-Gruppe, dc=company, dc=local" VPN-  
Access-Group
dynamic-access-policy-record DfltAccessPolicy
aaa-server AD_Query protocol ldap
aaa-server AD_Query host 192.168.1.21
timeout 20
server-port 636
ldap-base-dn OU=Company-User,DC=company,DC=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *
ldap-login-dn cn=ciscoldap, cn=users, dc=company, dc=local
ldap-over-ssl enable
server-type microsoft
ldap-attribute-map VPN-MAP

Und noch der ldap debug:

...
[185] displayName: value = VPNUser
[185] uSNCreated: value = 18765
[185] memberOf: value = CN=cisco,OU=VPN-Gruppe,DC=comapny,DC=local
[185] mapped to IETF-Radius-Class: value = CN=cisco,OU=VPN-Gruppe
n,DC=comapny,DC=local

Muss ich noch irgendwo genau was konfig urieren das die Regel auch zieht!?!
Bin so langsam am verzweifeln! Wobei langsam schon um ist!
Wäre echt Dankbar...

mfg...