Здравствуйте! Как я понял, Вы хотите разобраться, почему у пользователя cn=admin,dc=domain,dc=lan нет прав на изменение конфигурации сервера OpenLDAP. Дело в том, что есть конфигурационный каталог cn=config и есть пользовательский каталог dc=domain,dc=lan. Они содержат разную информацию и у каждого из них своё разграничение доступа. Пользователь cn=admin,dc=domain,dc=lan, как я понимаю, это Ваша административная учётная запись (в терминологии OpenLDAP -- rootDN) для пользовательского каталога, у неё полные права на выполнение любых действий в каталоге с контекстом именования dc=domain,dc=lan. Но эта запись не имеет никакого отношения (и, соответственно, никаких прав) к конфигурационному каталогу cn=config.
Вы собираетесь внести изменения в настройку сервера OpenLDAP путём модификации записи olcDatabase={1}mdb,cn=config (как видите, эта запись входит в контекст именования cn=config). Соответственно, Вам нужно выполнить это действие либо от имени rootDN каталога cn=config, либо от имени другого пользователя, имеющего права на модификацию каталога cn=config. Надеюсь, не очень путано объяснил.
По умолчанию в Ubuntu с каталогом cn=config можно произвести любые действия, подключившись по протоколу ldapi:/// от имени системной учётной записи root. Вы, кстати, делали это, когда с помощью команды ldapsearch выводили содержимое каталога cn=config. Для ldapmodify ситуация аналогичная:
$ sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f nssproxy.acl.ldif
В данном случае используется подключение к каталогу не от имени записи в каталоге, а аутентификация делегируется стороннему механизму. Это так называемая SASL-аутентификация, конкретно в этом случае с использованием механизма EXTERNAL.
Егор
