Ну вот: всё верно, по A-записи ВСЕГДА при запросе домена captive.apple.com отправляете гаджет на свой сервер (предварительно прописанный в walled-garden, разумеется). А сервер нужно научить при подобных запросах глядеть в записи об открытых radius-сессиях на предмет наличия там мака девайса (да и логина юзера тоже), чтобы в случае наличии активной сессии (например, если последняя началась меньше чем N часов до установленного вами максимума) - отвечать гаджету всегда "Success" и отправлять с миром. По идее тогда айфоны будут меньше "нервничать" в руках пользователей, будучи УЖЕ авторизованными по механизмам MAC-cookie или HTTP-cookie.
М? :)