@@modules {@@ @@ ldap1 {@@ @@ server = "ldap.domain.com" @@ @@ basedn = "ou=people,dc=domain,dc=com"@@ @@ filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"@@ @@ start_tls = yes@@ @@ dictionary_mapping = ${raddbdir}/ldap.attrmap@@ @@ ldap_connections_number = 5@@ @@ timeout = 4@@ @@ timelimit = 3@@ @@ net_timeout = 1@@ @@ }@@ @@ ldap2 {@@ @@ server = "anotherldap.domain.com" @@ @@ basedn = "ou=people,dc=domain,dc=com"@@ @@ filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"@@ @@ start_tls = yes@@ @@ dictionary_mapping = ${raddbdir}/ldap.attrmap@@ @@ ldap_connections_number = 5@@ @@ timeout = 4@@ @@ timelimit = 3@@ @@ net_timeout = 1@@ @@ }@@ @@}@@ @@authorize {@@ @@ preprocess@@ @@ files@@ @@ ldap1@@ @@ ldap2@@ @@}@@ @@authenticate{@@ @@ Auth-Type ldap {@@ @@ group {@@ @@ ldap1 {@@ @@ reject = 1@@ @@ ok = return@@ @@ } @@ @@ ldap2 {@@ @@ reject = return@@ @@ ok = return@@ @@ }@@ @@ }@@ @@ }@@ @@}@@ L'astuce résidait donc en fait à créer des groupes dans le module d'authentification et de jouer avec le failover dessus. Deux possibilités donc :

Soit je suis passé trop vite sur ce paragraphe et j'aurai pu résoudre hier, mais apparement je ne suis pas le seul,

Soit la doc à ce niveau là est assez mal faite.