настройка клиента ldap только для чтения

У меня есть ящик Debian Linux, размещенный в облаке, который я хочу предоставить почтовые службы (Postfix / Dovecot). Я хочу, чтобы он получил доступ к моему серверу openLDAP дома для аутентификации и предоставил пользователям доступ по электронной почте.

Как настроить безопасную связь между клиентом и сервером LDAP? Облачный сервер должен иметь доступ только для чтения к LDAP. На домашнем сервере выполняется OS X 10.10 Server.

Я предполагаю, что VPN-подключение к моему дому потребуется, если LDAP не поддерживает SSL и обеспечит достаточную безопасность с помощью шифрования. У меня есть настройка сервера OpenVPN на дому, с которой я могу подключиться.

Linux и Unix - лучшая ОС в мире.