SASL / GSSAPI é um meio de autenticação, somente autenticação . Se você quiser troca de dados criptografados durante a sessão, você deve usar a configuração TLS do seu servidor openldap. Esse claramente não é o caso, já que você fala sobre a porta 389. Seu servidor deve ouvir a porta 636 (ldaps) por padrão para a sessão criptografada.