Classificar de. Um domínio Open Directory é na verdade 3 serviços semi-integrados: LDAPv3 para a maioria dos dados (fornecido por um servidor OpenLDAP razoavelmente padrão), Kerberosv5 KDC para autenticação de conexão única (fornecida pela implementação Kerberos do MIT, com alguns ajustes) e um SASL- servidor de senhas baseado em outros tipos de autenticação (fornecido por algo pelo menos parcialmente baseado em um projeto SASC da CMU).
A replicação do componente LDAP não deve ser muito difícil - configure o syncrepl como em qualquer outra implementação do OpenLDAP, em seguida, adicione a (s) URL (s) extra (s) como valores do atributo apple-ldap-replica do cn = ldapreplicas, cn = config, whateveryoursearchbase é um registro no LDAP (isso informa aos clientes sobre a (s) réplica (s).
O serviço de senha e o Kerberos são muito mais difíceis. Tanto quanto eu posso dizer, a Apple estendeu o código CMU SASL consideravelmente, então eu não acho que será possível copiá-lo sem esforço maciço. O Kerberos seria fácil ... exceto que depende do servidor de senha para replicação (os servidores de senha em uma rede de réplica atualizam um ao outro sobre novas senhas e, em seguida, cada um é responsável por atualizar o Kerberos KDC no mesmo servidor). Observe que há também registros LDAP sob cn = config informando aos clientes onde estão todos os servidores de senha e KDCs disponíveis; o Kerberos é bastante óbvio, mas o servidor de senha é mais difícil de entender.
Assim, você pode fazer a replicação LDAP, mas não acredito que as réplicas do servidor de senha e do KDC sejam práticas. E se você não tiver esses serviços com backup, não há muito benefício em replicar o LDAP.
Se é apenas tempo de atividade que você está preocupado, que tal adicionar um dos servidores Mac Mini como uma réplica? Eles não estão preparados para uma alta taxa de transferência por qualquer meio, mas como um backup de emergência, eu os considero a coisa certa.