Соединение сервера LDAP к Windows AD как решение ACL

То, что Вы пытаетесь сделать, много походит на доверие.

Где те ACLs будут? В некоторых случаях один путь доверие может быть соответствующим..

С другой стороны, проверьте ADFS (активные сервисы федерации каталога), который может использоваться для объединения в федерацию доступа без фактических трестов, который полезен для внешних партнеров и т.д.

http://msdn.microsoft.com/en-us/library/ms674895%28v=vs.85%29.aspx

Я не уверен, почему Вы хотели бы использовать OpenLDAP вместо второго AD леса с одним путем доверие, но, к Вашему вопросу, я на самом деле никогда не видел crossRef к внешнему реализованному каталогу. Это сказало, что я не вижу оснований, которыми это должно быть в непрерывном пространстве имен.