Bem, acredito que a melhor opção é configurar um servidor LDAP escravo dentro da DMZ. O LDAP do mestre / réplica enviará alterações para o LDAP do escravo por SSL (até mesmo os certificados auto-assinados são bons) e seus clientes solicitarão por SSL o LDAP do escravo.
Um "esquema" é o seguinte:
(Back End)Master LDAP-->Replica LDAP-->(Firewall)-->(DMZ) Slave LDAP