Беспроводной EAP/Freeradius, есть ли способ проверить Mac-адрес в LDAP?

Итак, у нас работает EAP-PEAP через MSCHAP. Что я хотел бы сделать, так это проверить MAC-адрес, чтобы убедиться, что люди не помещают свои учетные данные на случайные устройства. Я знаю, что SCEP здесь будет лучшим вариантом, но сейчас мы находимся именно на этом уровне.

Итак, я заметил, что Mac-адрес передается FreeRadius подCalling-Station-Id

      (9) Received Access-Request Id 39 from 10.127.87.10:54900 to 10.128.0.13:11812 length 275
(9)   User-Name = "jonathan.fisher"
(9)   NAS-Identifier = "xxttzzbbeezz"
(9)   Called-Station-Id = "XX-YY-ZZ-BB-AA-RR:xxx-eap-wifi"
(9)   NAS-Port-Type = Wireless-802.11
(9)   Service-Type = Framed-User
(9)   Calling-Station-Id = "GG-HH-AA-22-77-PP"
(9)   Connect-Info = "CONNECT 0Mbps 802.11a"
(9)   Acct-Session-Id = "123456asdfaasdf"
(9)   WLAN-Pairwise-Cipher = 1231234
(9)   WLAN-Group-Cipher = 1231234
(9)   WLAN-AKM-Suite = 1231234
(9)   WLAN-Group-Mgmt-Cipher = 1231234
(9)   Framed-MTU = 1400

Наша текущая конфигурация LDAP:

      ldap {
  server="ldaps://xxx.xxx.com"
  port=636
  tls {
    ca_file=/usr/local/share/ca-certificates/xxx-ca.crt
  }
  identity="cn=freeradius,ou=robots,dc=xxx,dc=xxx,dc=com"
  password="a well kept secret"
  base_dn="ou=people,dc=xxx,dc=xxx,dc=com"
  user {
    base_dn="${..base_dn}"
    filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
    scope='sub'
  }
  group {
    base_dn="${..base_dn}"
    filter='(objectClass=inetOrgPerson)'
    membership_attribute='memberOf'
    scope='sub'
  }
}

Мне любопытно, существует ли комбинация атрибутов и фильтров LDAP, которую кто-либо использовал, чтобы позволить определенным людям подключаться только к определенным Mac-адресам. Спасибо!