Допустим, у меня два сервера OpenLDAP, которые я могу использовать независимо для аутентификации: ldap.example.com (рабочий сайт) и ldap.example.io (тестовый сайт).
Можно ли настроить ldap.example.io так, чтобы, если пользователь не найден, вместо неудачной аутентификации выполнялась попытка с использованием ldap.example.com? Таким образом, приложение, использующее сервер OpenLDAP для аутентификации, должно знать только об одном ресурсе LDAP.
Я полагаю, есть сложности, которые следует учитывать (например, дублирование имен пользователей, куда добавляются новые пользователи, если привитое дерево будет прочитано - только), а пока я просто хочу узнать, существует ли вообще такой механизм.
Да, процесс называется «отсылка» и представляет собой довольно стандартный режим работы LDAP, см. http: / /www.openldap.org/doc/admin24/referrals.html
Альтернативой может быть цепочка: http://www.openldap.org/doc/admin24/overlays.html#Chaining