tvrzeni, ze samba, openldap .... nepracuje dobre se selfsigned certifikaty je zavadejici.
konkretne openldap s nimi pracuje stejne dobre jako s ostatnimi.
jen je treba precist man stranku a udelat spravne konfiguraci.
na strane serveru k tomuto slouzi direktiva TLSCACertificateFile. podivejte se do slapd.conf(5)
na strane klienta je to TLS_CACERT - viz ldap.conf(5)
allow bind_v2 neznamena "abyste mohli používat LDAP funkce PHP" ale "abyste mohli pouzit klienty, kteri neumi komunikovat protokolem LDAPv3 (pouzivaji LDAPv2) - pro doplneni je to napriklad Cisco VPN koncentrator a dalsi.
dale bych take doplnil, ze uzivatele root a "systemove uzivatele a skupiny (adm,bin, ...atd)
do LDAP nedavejte. ve chvili, kdy vam nebude dosazitelna adresarova sluzba, mate system mrtvy. tito uzivatele a skupiny musi zustat v /etc/{passwd,shadow,group,gshadow}
rootdn uzivatel v /etc/passwd NENI. navic tuto identitu je doporuceno v ostrem provozu nepouzivat. nevztahuji se na ni nastavena ACL. rootdn ma absolutni prava nad adresarovym stromem. To je pomerne zasadni a v clanku chybi. Navic tato identita "zije" pouze v slapd.conf v databazi neni. a to je dalsi dulezita vec.
v konfiguraci pam_ldap bych udelal lepsi filtr. takhle se vam stane, ze jakykoli uzivatel v LDAP (rozumeno jakykoli inetOrgPerson uzivatel, ktereho jste importoval) bude mit moznost pristoupit na vsechny servery zapojene do LDAP. a to asi neni zadouci, ze?
podobnych konfiguraci jsem delal mnoho, mate-li zajem, muzeme to probrat. sezenete me na jabberu jako matlas@jabber.cz