openldap нельзя синхронизировать с AD, можно сделать из него прокси.

Может вы знаете, возможно ли будет в openldap, в режиме прокси, настроить следующую схему: 1. Создать пользователя для приложения, cn=example ou=example dc=example,dc=example. Пользователь нужен для настройки приложения. 2. Настроить проксирование на два КД, и представить для приложения как ldap сервер с единой базой юзеров. В виде base: dc=example,dc=example?

Нет, не знаю. Но предлагаю прочитать документацию и попробовать.

перлом лдифки дампай, перерабатывай и загружай. При ролном отсутствии знаний работы на день.

Спасибо за подсказку про прокси, нашел некоторое решение:

I recommend OpenLDAP's meta backend, which acts as a proxy to integrate several naming contexts from several different servers in one single tree. I have successfully used it to do just this on several Windows 2003 domains.

For example, if you have several AD domains named ONE.COMPANY.COM and TWO.COMPANY.COM, you would end up with the following LDAP tree:

      *dc=company,dc=com
            *dc=one,dc=company,dc=com
                *Users and Groups from domain ONE
            *dc=two,dc=company,dc=com
                *Users and Groups from domain TWO

Thus, you could base authentication requests on the base DN dc=company,dc=com, which would return entries from either server.

Of course, you must make sure that you have an attribute that can uniquely identify users over all domains, such as an email address (you don't want to use a login name if you have two jdoe users! Unless you're sure logins are unique over all domains).

Check out http://www.openldap.org/software/man.cgi?query=slapd-meta&apropos=0&s...

Если все получится, отпишу как и что делал :)

Мета каталог

То, что я хотел сделать, называется метакаталогом и настраивается с помощью механизма meta. http://www.openldap.org/software/man.cgi?query=slapd-meta&apropos=0&sektion=0&manpath=OpenLDAP+2.4-Release&format=html
Поскольку я настраивал все это хозяйство на Debian 7.8 то в версиях OpenLdap начиная с 2.4.23-3 в Debian вы не найдете конфигурационного файла slapd.conf. Дело в том что Debian переходит на динамический конфиг cn=config взамен устаревшего статического slapd.conf. Все конфиги теперь располагаются в каталоге /etc/ldap/slapd.d. Это мы исправим:

cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/ldap/slapd.conf
mv /etc/ldap/slapd.d ~ (или куда вам надо, или удалите)

SLAPD_CONF=/etc/ldap/slapd.conf

BASE   dc=IN (указываем по потребностям)
URI    ldap://localhost/ (указываем по потребностям)

include         /etc/ldap/schema/core.schema
pidfile         /var/run/slapd/slapd.pid
Loglevel 1
moduleload      back_ldap.la
moduleload      back_meta.la

database        meta
suffix          "dc=IN"
bind-timeout    1000000

uri             "ldap://lpdap1.exaple or address/ou=lpdap1-users,dc=IN"
suffixmassage   "ou=lpdap1-users,dc=IN" "CN=Users,DC=mycompany,DC=ru"
idassert-bind   bindmethod=simple
                binddn="CN=Administrator,CN=Users,DC=mycompany,DC=ru"
                credentials="***************"
                mode=self
idassert-authzFrom     "dn:*"

uri             "ldap://lpdap2.exaple or address/ou=lpdap2-users,dc=IN"
suffixmassage   "ou=lpdap2-users,dc=IN" "CN=Users,DC=mycompany,DC=ru"
idassert-bind   bindmethod=simple
                binddn="CN=Administrator,CN=Users,DC=mycompany,DC=ru"
                credentials="***************"
                mode=self
idassert-authzFrom     "dn:*"

Большое спасибо, что не поленились описать - очень интересно было прочитать.