LDAP : Structure et authentification

Bonjour,

Nous allons bientôt mettre en place un annuaire LDAP dans notre entreprise. Actuellement quand on se connecte à notre intranet, on vérifie l'authentification sur une base MsSql.
Cela va changer, on fera l'authentification à partir du LDAP (dans un premier temps).
N'ayant pas de compétence LDAP J'ai deux questions.
Quelle structure choisir?
Comment faire l'authentification?

Pour la structure nous pensons en avoir une basé sur les organisations :
<img src="http://static.commentcamarche.net/..." />.

Le problème se situerais l'or de l'authentification. Car en plus du login et password, il me faut le DN de la personne... et celui la, je ne peux pas l'imaginé. Comment faire?
Dois je séparer les personnes des organisations?

Est - ce viable? : A la racine de mon LDAP, j'ai deux noeuds. Un qui donne l'organisation comme le schéma ci-dessus (les personnes seraient remplacé par des comptes) et l'autre noeud qui est une structure plate ou se trouverai toutes les personnes (dans mon cas 20 000). il y aurait un alias entre les personnes de la structure plate et les comptes de la structure organisationnelle. Pour s'authentifier, le DN sera le même.

Peut être que ce n'est pas comme ça qu'on fait. Ayant peu de compétence LDAP dans notre entreprise, j'espère que quelqu'un pourra me faire profiter de son expérience.
Si vous avez besoin de précisons....
En attendant, merci :)