Настройка и структура сети OpenLDAP

Я собираюсь настроить LDAP на Ubuntu в ближайшем будущем, и у меня есть несколько вопросов. Во-первых, позвольте мне начать с нашей желаемой структуры. У нас есть сервер ActiveDirectory и сервер Ubuntu. Мы хотим, чтобы оба они были конечными точками LDAP, но с ловкостью. Все, что мы помещаем в нашу ActiveDirectory, должно синхронизироваться с сервером openLDAP, но не наоборот. К обоим конечным точкам также будут добавлены новые записи, поэтому односторонняя синхронизация может оказаться не самой лучшей.

Мы хотим сделать это, потому что мы хотим, чтобы сотрудники компании были в ActiveDirectory, и только сотрудники. Однако мы хотим, чтобы у клиентов был какой-то уровень доступа, и мы намерены установить его через сервер openLDAP.

Я программист по своей природе, поэтому я не уверен, насколько это возможно, но я думаю, что это возможно. Кто-нибудь захочет подробно рассказать, как я мог бы добиться этого? Или это, как синхронизация LDAP будет работать нормально? Я не могу предвидеть, что у нас есть какие-либо коллизии между двумя конечными точками - я думаю, можно с уверенностью сказать, что имя пользователя всегда будет уникальным.