VPN remota - autenticação de dois fatores com Cisco ASA + OpenLDAP

Alguém pode me dar um caminho (ou link para a documentação / como) para implementar autenticação de dois fatores (senha LDAP + certificado) no Cisco ASA para RemoteVPN (com o cliente Anyconnect)?

Atualmente, nosso Cisco ASA (5505, 8.4.3) é configurado para autenticação de senha usando o servidor OpenLDAP. Nós usamos o RemoteVPN com AnyConnect Client (SSL VPN). E gostaria de adicionar certificados ao processo de autenticação / autorização. Não quero usar nenhuma autoridade de certificação externa. Eu provavelmente nem preciso de certificados pessoais para todos os usuários.

O que eu preciso é apenas verificar se o usuário tem um certificado válido antes / depois / durante a autenticação / autorização no LDAP com senha.

Para ser sincero, agora não entendo claramente como isso deve funcionar.

1) Primeiro de tudo, eu não entendo, onde deve ser configurado no Cisco ASA.

Devo apenas ativar o certificado e a autenticação aaa "(config-tunnel-webvpn) # authentication aaa certificate" para o meu grupo de túneis através do meu servidor OpenLDAP? Como vai funcionar então? O OpenLDAP suporta a validação de certificados?

Ou preciso usar a autenticação secundária para adicionar certificados? Preciso então configurar algum servidor para autenticação secundária?

Ou preciso fazer alguma outra configuração, como a autoridade da autoridade de certificação? Como, então, a autoridade da CA pode obter nomes de usuários do OpenLDAP? Ou posso apenas fazer um certificado para todos os usuários (esse nível de segurança é totalmente suficiente para minha empresa)?

2) Como o processo de validação de certificado deve funcionar? Como o Cisco ASA validará o certificado? É algo como openssl chaves privadas / públicas ou não? Posso configurar a Autoridade da CA local no ASA, mas ainda assim obtenho todos os usuários do OpenLDAP? Será que ele extrairá o nome de usuário do certificado ou usará o certificado para autenticação?

Muito obrigado antecipadamente.