Всем привет! Уже всю голову сломал, никак не могу придумать (или найти) решение поставленной задачи.

Стоит апач с авторизацией по NTLM. Есть 2 сервака AD без взаимного доверия доменами. Как организовать возможность авторизации пользователей из обоих доменов?

Если следовать классической схемой, то поднимать winbindd, прописывать realm домена и ntlm_auth будет ходит в него. Но что делать когда появляется второй AD? Теоретически можно поднять второй winbindd с realm второго домена, даже можно поднять второй ntlm_auth. Но как тогда заставить апач перебирать среди этих двух NTLMAuthHelper'ов пока не найдет нужного пользователя?

Гугл упорно говорит что winbindd не умеет смотреть в два сервака. Может есть какие-то обходные пути?