спаривание двух LDAP бэкэндов

[dabchimera]

Доброго времени суток!
ситуация следующая:
первая AD под 2008м серваком (назавем ее в дальнейшем LocalAD.loc)
вторая AD тоже под 2008м серваком (в дальнейшем RemoteAD.NSK)
OTRS 3.2.3 взгромождена на Debian 6.0.7 stable (на которой также крутятся MySQL 5.1.66-0+squeeze1, Apache/2.2.16 (Debian),Perl 5.10.1 (linux))
Изначально настроил доменную авторизацию для кустомеров и агентов из домена LocalAD.loc, всё довольно весело крутилось и вертелось без каких либо проявлений глюков, но тут решили что неплохо было бы прикрутить под это дело еще одну структурную единицу. Первым делом вывел апач во внешку
(теперь отрс стала доступной по адресу типа "http:\\localAD.ru\servicedesk")
Чтож после репликации ДНС коллеги увидели ее во внешке, но залогиниться могли только юзвери LocalAD.loc. Конечно была идея завести всех коллег вручную, но меня не прельщает вбивание порядка двухсот юзверей в свою АД, а с учетом того что это не единственное удаленное подразделение компании то вообще страшно предположить что же будет с таким подходом потом....
В офицальном мане есть небольшой кусок кода, объединяющий локальную ДБ и ЛДАП бэкэнд, в теории всё конечно хорошо, но вот на практике.... для начала приведу конфиг того что у меня есть на данный момент( во вложении)
коментарии
1. pdc.LocalAD.loc - контроллер домена 2008 в "своем домене", в конфиге прописывается по DNS
2. a.b.x.z - удаленная машина, на которой проброшен 389й порт (во внешке 1001й)
3. 1001й порт(а также удаленный юзверь) рабочие, проверено AD explorer'ом
в рамках домена LocalAD.loc конфиг отрабатывается на ура: всё авторизируется и синхронизируется
в домене RemoteAD.NSK агенты проходят авторизацию и заходят в агентский интерфейс под своей учеткой
кустомеры RemoteAD.NSK же проходят авторизацию но не могут зайти. копание логов выявило отстутвие юзеров в БД OTRS, в результате чего было выдвинуто предположение о кривой синхронизации кустомеров.
в процессе поиска истины был выявлен любопытный глюк:
когда
Self->{'Customer::AuthModule'} был един (т.е не было $Self->{'Customer::AuthModule1'} и $Self->{'Customer::AuthModule2'}) то страничка customer.pl отрабатывалась нормально т.е выдавала приглашение на ввод логина и пароля

как только модулей стало два то customer.pl стал вываливать 500ю ошибку.
копание в логах апача выявило отстутсвие {'Customer::AuthModule::LDAP::Host'}, причем некоторые люди советовали прописать этот параметр в конфиге (у меня их там два прописано)

Решение нашлось так же недонозначно: использовать в ссылке приписку ?Action=Logout ( в результате получается customer.pl?Action=Logout)
В этом случае он отображает страничку ( правда с красной надписью мол "мы успешно вышли из системы", но это всяко лучше чем лицезреть 500ю ошибку от апача)


во вложении конфига и логи ОТРС(выборка)

собственно вопрос: где ошибка?)) всмысле как заставить нормально синхронизироваться второй домен??

[dabchimera]

просьба к администраторам, уберите либо сделайте больше ограничение в 4000 строк на тело сообщения... а то приходится потом половину сообщения в архив запаковывать