Si le serveur LDAP ne peut être modifié, on peut ajouter le support LDAPS avec stunnel.

Créer un certificat combiné, comprenant le certificat+la chaîne de certification avec la commande cat cert.pem cert-chain.pem > cert-combined.pem

apt-get install stunnel4
Créer le fichier /etc/stunnel/ldaps.conf
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4
pid = /stunnel4.pid
debug = 4 ; Afficher un log à 5 affiche toutes les connexions et leur état
cert = /etc/stunnel/ssl/cert-combined.pem
key = /etc/stunnel/ssl/ldap.domaine.key
options = NO_SSLv2
options = NO_SSLv3
options = NO_TLSv1
options = NO_TLSv1.1
options = SINGLE_ECDH_USE
options = SINGLE_DH_USE

# Autorise les connexions IPv6 et IPv4 et se connecte sur le serveur LDAP en IPv4
[ldaps]
accept  = :::636
connect = 389

Editer /etc/default/stunnel4, et activer le
ENABLED=1

service stunnel4 restart