Прокси OpenLDAP: кэширование учетных данных в случае, если недостижимое ведущее устройство Active Directory

Я настраиваю сервер Debian в своей компании, где пользователями управляют в Active Directory.

Я хотел бы аутентифицировать пользователей с AD, но я думаю, что было бы лучше, по возможности, иметь локальный OpenLDAP для аутентификации против того, в случае, если AD сервер или сеть падают.

Я видел учебные руководства об установке сквозной аутентификации

• https://wiki.debian.org/LDAP/PAM
• http://ltb-project.org/wiki/documentation/general/sasl_delegation

но это не говорит, что происходит, если AD сервер не достижим. AFAIU, сбои запроса.

Кто-то здесь предлагает использовать установку OpenLDAP Proxy Cache Engine высокий TTL.

Я должен копировать целый каталог вместо этого? Я не возражаю, если новые пользователи могут "t аутентифицироваться. Я был бы счастлив, если уже локально известные пользователи могут аутентифицироваться с помощью последнего принятого пароля. Таким образом, самым легким решением является мой фаворит.

Я искал с большим количеством условий включая кэш/кэширование, копию, и т.д. Я не нашел "grab-my-hand-and-show-me-how-to-do-that-on-debian-jessie" пошагового решения, таким образом, могло случиться так, что то, что я думал, будет относительно стандартно, на самом деле немного хитро.