Como sua configuração parece estar usando apenas o Linux, sugiro pesquisar em FreeIPA
Em vez de executar uma solução OpenLDAP pura ou Usar o Active Directory
O FreeIPA contém um backend ldap, kerberos DNS e uma interface web administrativa, mas todos agrupados em uma solução mais combinada
Similarmente ao Active Directory, ele suporta:
- Delegar permissão de manipulação de grupos para usuários (para diminuir o administrador fardo)
- Suporte para grupos aninhados
- Suporte completo de replicação de dados mestres múltiplos