Uma alternativa seria usar o Kerberos5 em vez de uma simples ligação LDAP simplesmente via pam_krb5
apenas para autenticação. libniss
só usaria o LDAP para resolver usuários. Dessa forma, há pelo menos nenhuma transmissão de senha de texto simples, mas todas as consultas LDAP são naturalmente transmitidas em texto simples - Observe que a conta necessária para o simples bind consultar o diretório deve ser Domain Guest ou alguma conta altamente não privilegiada etc. p>
Isso também é trivial para fazer.