Você pode fazer isso de 30 maneiras. Isso nos ajudaria a saber qual SO / linguagem / framework você está usando nos servidores da web - alguns ou muitos deles terão um módulo para fazer alguns ou todos esses métodos.
Você pode usar o LDAP. Você poderia usar o Kerberos. Você poderia usar o NTLM. Inferno, você poderia usar o SMTP se houvesse um Exchange ou outro servidor de correio integrado ao AD que você pudesse consultar - eu vi isso feito.
O servidor da Web pode ser configurado para apontar para um controlador de domínio ou um servidor membro ou um servidor AD LDS (anteriormente, ADAM). Se usar o último, você pode colocá-lo em um DMZ. Você geralmente não quer colocar nenhuma das outras opções em uma DMZ.
O tráfego pode ser criptografado usando uma camada de criptografia específica do protocolo - se usar LDAP, use LDAPS. Se você estivesse usando SMTP, eu diria para usar IPSec ou TLS.
FYI - se você fosse meu fornecedor, eu gostaria de saber que você estava fazendo isso com segurança e que eu não era sua cobaia. Considere contratar alguém que saiba o que está fazendo para essa parte do projeto. Não faça isso e, em seguida, faça com que a rede do cliente seja explorada.