Temos uma situação em que implementamos dispositivos de hardware que consistem em vários servidores em nossos sites de clientes. Esses appliances incluem um servidor openLDAP interno (replicado) que gerencia as informações de usuários, grupos e sudoers usadas para autenticação e autorização entre os servidores do appliance. Nem todos os servidores têm acesso direto a interfaces de rede fora dos limites do appliance.
Temos uma situação em que precisamos ser capazes de autenticar primeiro as entradas nos servidores locais e, se um usuário não for encontrado no diretório local, encaminhar a solicitação para um serviço de diretório externo (como o AD ).
Eu vejo muitas informações sobre proxy de passagem e técnicas semelhantes, mas não estamos interessados em passar por todas as solicitações, apenas as que falham localmente.