VLANs dinâmicas com FreeRadius, OpenLDAP e Cisco WLC

Atualmente, temos um servidor FreeRADIUS 1.1.6 autenticando usuários do OpenLDAP que são armazenados no esquema de conta posixAccount . Nós agora instalamos um Cisco WLC, e queremos autenticar esses usuários através do 802.1X (que está trabalhando com sucesso), mas também dinamicamente atribuir seu computador a uma VLAN baseada no endereço MAC daquele computador (também estamos usando certificados, então os problemas de falsificação de MAC devem ser bastante atenuados).

Eu importei o esquema radius para o OpenLDAP e criei um cn chamado dot1x , e baseei-o na objectClass radiusprofile - então temos uma entrada como esta:

dn:cn=machine-1146,cn=dot1x,dc=org,dc=com
cn: machine-1146
radiusTunnelMediumType: IEEE-802
radiusTunnelType: VLAN
radiusTunnelPrivateGroupId: 600
objectClass: radiusprofile
objectClass: top

As perguntas são

• Onde em cn = dot1x, dc = org, dc = com nós colocamos o endereço MAC da máquina?
• Como configuro o FreeRADIUS para pesquisar ou = people para autenticação do usuário e, em seguida, cn = dot1x para o endereço MAC do computador e responder com radiusTunnelPrivateGroupId ?

Obrigado pela sua ajuda!