У мене в smb.conf так:
passdb backend = ldapsam:"ldapi:// ldap://localhost ldaps://host"
ldap ssl = onі якщо я не помиляюсь то для нормальної роботи samba через ldapi
то права на файл сокета мають бути 0777:
chmod 0777 /var/lib/run/ldapi
запускається ldap так: /usr/libexec/slapd -4 -u ldap -g ldap -l LOCAL6 -h 'ldap://127.0.0.1 ldaps://192.168.30.1 ldapi:///'
сертифікат я створив таким скр.:
export SSL_TMP=/tmp/ssl_sys_$$
mkdir $SSL_TMP
cd $SSL_TMP
openssl genrsa -des3 -out ca.key 2048
openssl req -new -x509 -days 730 -utf8 -key ca.key -out ca.cert
потім скопіював
ca.cert в /etc/ssl/certs
ca.key в /etc/ssl/private
далі створив сертифікати для користувачів (в тому числі для ldap):
export SSL_TMP=/tmp/ssl_$$_$1
mkdir $SSL_TMP
cd $SSL_TMP
openssl genrsa -out $1.key 1024
openssl req -new -key $1.key -out $1.csr -utf8
openssl x509 -req -in $1.csr -out $1.cert -CA /etc/ssl/certs/ca.cert -CAkey /etc/ssl/private/ca.key -CAcreateserial -days 1095
сертифікат ldap скопіював в /etc/ssl/ldap і прописав в slapd.conf
TLSCACertificateFile /etc/ssl/certs/ca.cert
TLSCertificateFile /etc/ssl/ldap/ldap.cert
TLSCertificateKeyFile /etc/ssl/ldap/ldap.key
TLSVerifyClient try