Heute habe ich den entscheidenen Hinweis gefunden 
… und der kam von Chris (@cweikl) in diesem Beitrag.
Ich habe nun eine .htaccess-Datei für einen Apache 2.4 Server, mit der man SSL verschlüsselt den AD abfragen kann.
Also hier nochmal die Schritte, die bei mir zum Erfolg geführt haben:
1.) Da ich dem apache2 in der DMZ nur ein self-signed-cert gegönnt habe, war bei mir der Eintrag
LDAPVerifyServerCert Off ganz am Ende unter /etc/apache2/conf-enabled/security.conf notwendig!
2.) Unter Apache 2.4 ein Verzeichnis test unter /var/www/html (default) erstellen. Ich habe diese Rechte gewählt:
<Directory /var/www/html/test>
Options Indexes FollowSymLinks Includes MultiViews
AllowOverride All
Require all granted
</Directory>
3.) Eine .htaccess-Datei anlegen wie diese:
# .htaccess-File in Unterordner Test zur AD/LDAP-Auth an Server:
AuthName "Stundenplan der Schule"
AuthBasicProvider ldap
AuthType Basic
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN Off
#Ports 3268 und 3269: Global Catalog (over SSL)
#AuthLDAPURL "ldap://10.16.1.1:3268/ou=default-school,ou=SCHOOLS,dc=linuxmuster,dc=meine-schule,dc=de?samaccountname?sub?(objectClass=*)"
AuthLDAPURL "ldaps://server.linuxmuster.meine-schule.de:3269/ou=default-school,ou=SCHOOLS,dc=linuxmuster,dc=meine-schule,dc=de?samaccountname?sub?(objectClass=*)"
AuthLDAPBindDN "global-binduser@linuxmuster.meine-schule.de"
AuthLDAPBindPassword "super-geheim"
# Nachschlagen unter: sophomorix-user -i -u global-binduser
# Nur für Lehrer:
Require ldap-attribute memberOf="CN=teachers,OU=Teachers,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=meine-schule,DC=de"
# Für alle User mit gültigem Login:
#Require valid-user
4.) Apache2 neu starten: service apache2 restart
5.) Zugriff auf Port 3269 des Servers in der OPNSense-Firewall (z.B. für die DMZ) öffnen.
6.) Seite http://mein-apache-server-in-der-dmz/test aufrufen und sich mit einem Lehrer-Account anmelden.
7.) Grinsen?!?
Schönen Gruß,
Michael