вопрос к понимающим суть
услышал, что можно портировать иерархическое дерево ActiveDirectory в Самбуя напоролся в своё время, что при размещении пользователей в LDAP иерархия поддерживается плохо,
т.е. максимум, чего удалось добиться - включение пользователей из разных контекстов в одну группу
чтобы Самба работала с иерархией, нужно в LDAP иметь UNIX и SAMBA учетные записи. Но pam_ldap+nss_ldap вроде не поддерживают иерархию - т.е. низя сделать иерархические учетные записи UNIX, да и SAMBA требует указания отдельного контекста, т.е. опять же нема иерархии
правильно я понимаю, что перевод с ActiveDirectory в LDAP+SAMBA - это перевод в плоское дерево