[samba] ldap for samba & aci

[Alex Murphy]

Привет !! Прошу прощения за  вопрос - может он совсем не в тему, но вроде все 
сходное.
У меня в ldap храниться огромное число пользователей, теперь пользователи 
переместились по разным корпусам, ldap сервера между собой зеркалятся, а 
каждом корпусе свой админ, я делаю ветку dc=ru, в ней несколько подветок. Как 
я понимаю через конфигурационный файл крайне легко (и работает) названичить 
каждой ветке своего админа, но скоро будет еще более сложное ветвление и 
каждый раз редактировать slapd.conf я думаю не очень хорошая идея. Решил 
воспользоваться тестовой возможностью в openldap, а именно aci. Скачал 2.2.4 
версию, прочитал rfc (и вообче что можно), но так и не понял как же сделать 
правильно :(

1. Скомпилил 2.2.4 с поддержкой aci (--enable-aci)

2.
в salpd.conf есть:
access to *
    by * auth continue
    by aci=OpenLDAPaci +rwscx
те как я понимаю, что авторизоваться может каждый, а дальше уже по данным 
полученным из самой директории.

3. Добавляю в заголовок директории:
# smim, ru
dn: o=smim,dc=ru
o: smim
objectClass: organization
openldapaci: 
1#child#grant;r,w,s,c[all]#access-id#uid=Administrator,o=smim,dc=ru
что должно говорить о полном доступе к директории 
uid=Administrator,o=smim,dc=ru.

4. Добавляю самого пользователя
 Administrator, smim, ru
dn: uid=Administrator,o=smim,dc=ru
cn: Administrator
objectClass: posixAccount
objectClass: sambaSamAccount
uid: Administrator
homeDirectory: /
loginShell: /dev/null
uidNumber: 1000
gidNumber: 1000
sambaSID: S-1-5-21-3155955837-4108667622-3601602090-500
sambaPrimaryGroupSID: S-1-5-21-3155955837-4108667622-3601602090-512
sambaLMPassword: xxxx
sambaNTPassword: xxxx
sambaAcctFlags: [UX        ]
userPassword: password

5. Проверяю - да - администратор запросто подключается, но ничего не видит 
:((( те получается что не используются OpenLDAPaci.

Поэтому вопрос: может у кого получилось ??? хоть какие-то наметки !!!

С Огромным уважением и надеждой, Алексей.