Могут ли пользователи OS X Lion Server проходить аутентификацию на внешнем сервере LDAP, а также иметь доступ к Profile Manager?

Я исследую, является ли Менеджер профилей, включенный в версию Apple Lion Server, жизнеспособным вариантом для управления OTA-устройствами iOS в нашей организации. Просматривая документацию для Profile Manager и Lion server, я немного запутался в чем-то, что, я надеюсь, кто-то здесь может легко прояснить для меня, возможно, это просто вопрос, что я что-то неправильно понял.

Я знаю, что сервер Lion можно настроить для аутентификации пользователей на другом сервере ldap, и это здорово, но по какой-то причине во время чтения у меня сложилось впечатление, что эти пользователи будут иметь доступ только к Wiki, а не к диспетчеру профилей, то есть они не смогут зарегистрироваться устройства. Похоже, только локальные пользователи или пользователи, определенные на своем собственном сервере ldap, могут получить доступ ко всем доступным функциям и службам. И теперь, если я ошибаюсь по этому поводу, то второй проблемой будет доступ пользователей. Каждый в нашем ldap должен иметь доступ, пока он может аутентифицироваться. Можно ли разрешить каждому пользователю доступ к Менеджеру профилей, даже если я не определяю каждого из них на сервере Lion?

Кто-нибудь уже использует Profile Manager в среде с внешним сервером ldap и аутентифицирует пользователей на его основе для регистрации устройств? (Внешний по отношению к Lion Server, но внутренний по отношению к организации.)

Причина, по которой стоит спросить: 50 долларов, намного лучше, чем 100-200 долларов за решение MDM от стороннего производителя, поэтому я стараюсь сделать все возможное, чтобы это стало возможным.