Сабж не работает!
В моём случае meta объединяет два Active Directory, но, думаю, и для родных slapd не лучше. Поиск с (attributeType:1.2.840.113556.1.4.803:=X) всегда даёт истину, вне зависимости от действительного значения attributeType, поиск с (!(attributeType:1.2.840.113556.1.4.803:=X)) всегда даёт No such object (32).
В итоге я не могу пользователей из склеенных таким образом AD'шек проверять на признак блокировки (проверка userAccountControl'а, замапленного на любой подходящий атрибут реальной схемы в OL).
Кто-нибудь ещё сталкивался? Просто если нужно несколько AD собрать воедино для адресной книги, то в общем совсем нездорово, когда там видны уволенные 10 лет назад сотрудники (а политика компании такая, что их учётки не удаляют почему-то)...