Вы холод заставляете Сквид пройти проверку подлинности против единственного сервера OpenLDAP, действующего как прокси для нескольких каталогов бэкенда. От slapd-meta (5):
ИМЯ slapd-meta - бэкенд метакаталога
РЕЗЮМЕ/etc/ldap/slapd.conf
ОПИСАНИЕ meta бэкенд к slapd (8) выполняет основной LDAP, проксирующий относительно ряда удаленных серверов LDAP, названных "целями". Информация, содержавшаяся в этих серверах, может быть представлена как принадлежащий единственному Информационному дереву каталогов (DIT).
Это будет работать, даже если иерархии DN наложат среди обеих групп путем записи нескольких правил массирования - я предполагаю, что это имеет место, потому что Вы использовали бы искажение и делегацию вместо этого.
В любом случае я полагаю, что это здорово, который пользователям разрешают аутентифицировать против объединенного каталога, потому что их идентификационные данные остаются тем же независимо от подсети, в которую они, оказывается, находят себя.
В моем ответе я предполагаю, что Вы читали о протоколе аутентификации Сквида, знакомы о том, как настроить подлинного помощника LDAP и планирует выполнить Сквид под некоторым Unix operationg система. Кроме того, первые два ответа помогают, Вы выбрали различные серверы LDAP на основе имени пользователя, не подсеть IP (Вы упомянули "подсеть", но "подмножество" ITYM - право?).
Если Вы действительно захотите измениться, то серверы LDAP на основе вещей подсети IP станут немного ужасными, так как протокол автора Сквида только передает пар имени пользователя/пароля подлинным помощникам:
Можно создать собственного помощника аутентификации для сквида - http://www.visolve.com/squid/squid30/externalsupport.php#auth_param
http://www.cyberciti.biz/tips/howto-configure-squid-ldap-authentication.html