En arai-usuarios, por defecto se soporta un esquema LDAP “plano”, es decir todas las entidades están en un solo nivel (dentro de ou=usuarios, ou=groups y ou=usuariosCuentas respectivamente). Es decir, no se hace búsquedas recursivas.
Respecto a LDAP_USERS_OU y LDAP_ACCOUNTS_OU, el primero mantiene los usuarios y el segundo el mapeo usuarios/cuentas/aplicaciones propuesto por arai-usuarios.
Finalmente, comentar que alguna universidad previamente nos solicitó un manejo de LDAP multinodo, con lo cual se introdujo un desarrollo inicial para soportarlo. Es configurable mediante
donde rectorado, extension y fcf serían subnodos del nodo principal definido en LDAP_SEARCHBASE, y por supuesto cada subnodo debería tener las entidades LDAP_USERS_OU al menos. Los otros (account y group) no funcionan como subnodos y deben estar en la raíz.
Realmente no tuvimos mucho feedback por lo que esto nunca tuvimos la certeza de su correcto funcionamiento. Si lo desean pueden hacer pruebas, a modo experimental para adoptarlo, y también mediante GDS llevar un planteo formal del pedido de esta característica.