Видимо, нет способа настроить Active Directory для принудительной привязки TLS или SSL.Это означает, что по умолчанию и, возможно, без каких-либо параметров для изменения, все пароли для LDAP BIND в Active Directory идут в открытом виде.
Я протестировал несколько доменов AD, и кажется, что они все поддерживают BIND LDAP в виде открытого текста.
Должен быть способ обеспечить принудительное выполнение BIND только после установления TLS или SSL.