ActiveDirectory unidireccional para abrir sincronização por push LDAP

Eu sei que a sincronização do AD e do OpenLDAP é um problema comum, mas depois de algumas horas pesquisando e lendo postagens como isso e que ainda não tenho certeza se existe um bom ( num sentido de convinient e safe) maneira de ter um serviço externo aceitar as mesmas senhas como o AD interno.

Um pouco mais sobre o problema:

Eu sou responsável pela TI de um pequeno desenvolvedor de software. empresa e, recentemente, mais e mais serviços (gerenciamento de projetos, compartilhamento de arquivos, etc.) precisam ser acessados por clientes, freelancers e funcionários de fora da nossa rede. Até agora, todos esses serviços têm suas próprias contas de usuário e senhas, e isso está ficando tedioso e propenso a erros.

Minha idéia era estabelecer um servidor OpenLDAP que fosse acessado por todos os serviços e atuasse como repositório central do usuário. O que me falta é uma maneira de empurrar algumas de nossas contas de usuário internas para esse servidor, para que esses usuários possam usar os serviços externos.

Eu não gosto de pensar em tornar nosso DC acessível pela internet.

Então, basicamente, eu tenho duas perguntas:

1. Eu estou indo pelo caminho certo? Ou isso vai falhar simplesmente porque perdi alguns pontos?

2. Como posso realizar algo assim? Com base em um plano de desenvolvimento, eu estava pensando em escrever um pequeno aplicativo / script que lista todos os usuários internos e me permite selecionar quais têm acesso a qual serviço, mas como eu lidaria com alterações de senha?