Добрый день.

Господа, подскажите. У меня есть openldap сервер
Есть пользователи
cn=volkov,ou=people,dc=lastart,dc=local
cn=pavlov,ou=people,dc=lastart,dc=local

Есть подразделения
ou=it
ou=test
ou=dbdevelopers
И пользователи в них
cn=sokol,ou=people,ou=it,dc=lastart,dc=local
cn=ninas,ou=people,ou=test,dc=lastart,dc=local
cn=lebrov,ou=people,ou=dbdevelopers,dc=lastart,dc=local

Есть группа openvpn, все кто может ходить через vpn есть в этой группе

Есть openvpn сервер c ldap авторизацией
ldap.conf

cat ldap.conf
<LDAP>
        URL             ldap://ldap.lastart.local
        BindDN          cn=admin,dc=lastart,dc=local
        Password        MyMeGaPassWord
        Timeout         15
        TLSEnable       no
</LDAP>

<Authorization>
        BaseDN          "ou=people,dc=lastart,dc=local"
        SearchFilter    "(&(uid=%u)(memberOf=cn=openvpn,ou=groups,dc=lastart,dc=local))"
</Authorization>

Вопрос, почему
cn=volkov,ou=people,dc=lastart,dc=local
нормально авторизуются, а у кого есть дополнительный OU например cn=lebrov,ou=people,ou=dbdevelopers,dc=lastart,dc=local
не могут автроризоваться?

Как сделать либо поиск пользователей по всем поддеревьям, либо множественные DN?