Динамические VLAN с FreeRadius, OpenLDAP и Cisco WLC

В настоящее время есть сервер FreeRADIUS 1.1.6, аутентифицирующий пользователей из OpenLDAP, которые хранятся в схеме учетной записи posixAccount. Теперь мы установили Cisco WLC и хотим аутентифицировать этих пользователей через 802.1X (что успешно работает), а также динамически назначать их компьютер в VLAN на основе MAC-адреса этого компьютера (мы также используем сертификаты, так что проблемы подмены MAC должны быть в значительной степени смягчены).

Я импортировал схему радиуса в OpenLDAP и создал cn с именем dot1x, и основал его на objectClass radiusprofile - поэтому у нас есть такая запись:

dn:cn=machine-1146,cn=dot1x,dc=org,dc=com
cn: machine-1146
radiusTunnelMediumType: IEEE-802
radiusTunnelType: VLAN
radiusTunnelPrivateGroupId: 600
objectClass: radiusprofile
objectClass: top

Вопросы

• Где в cn=dot1x,dc=org,dc=com мы указываем MAC-адрес машины?
• Как настроить FreeRADIUS для поиска ou=people для аутентификации пользователя, а затем cn = dot1x для MAC-адреса компьютера, а затем в ответе radiusTunnelPrivateGroupId?

Спасибо за вашу помощь!