A única opção para isso é criar uma string de filtro LDAP a ser usada pelo parâmetro ldap_user_search_base
config (sintaxe: search_base[?scope?[filter][?search_base?scope?[filter]]*]
).
Esse deve ser um filtro RFC 2254 válido e, provavelmente, de alguma forma incorporará seu ldap_access_filter
no% código%.
A razão para isto é que a aplicação do filtro de acesso é um segundo passo depois de verificar se existe uma conta, o que não será feito por ldap_user_search_base
.