Você faz com que o Squid seja autenticado em um único servidor OpenLDAP que atua como um proxy para vários diretórios de back-end. De slapd-meta (5):
NAME slapd-meta - metadirectory backend
SYNOPSIS /etc/ldap/slapd.conf
DESCRIPTION The meta backend to slapd(8) performs basic LDAP proxying with respect to a set of remote LDAP servers, called "targets". The information contained in these servers can be presented as belonging to a single Directory Information Tree (DIT).
Isso funcionará mesmo se as hierarquias DN fizerem overlay entre os dois grupos, escrevendo algumas regras de massageamento - acredito que seja o caso, porque você estaria usando aliasing e delegação.
De qualquer forma, acredito que seja saudável que os usuários tenham permissão para se autenticar no diretório unificado, porque sua identidade permanece a mesma, independentemente da sub-rede em que eles se encontram.