Samba+LDAP: Минимальные полномочия для sambaLMPassword/sambaNTPassword?

В форме cn = config я использовал что-то вроде:

olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymous
  auth by dn="cn=admin,dc=example,dc=org" write by * none
olcAccess: {1}to attrs=sambaLMPassword,sambaNTPassword  by dn.base="cn=admin,d
 c=example,dc=org" write  by dn.base="cn=sambaservers,dc=example,dc=org"
  write  by anonymous auth  by self write by * none
olcAccess: {2}to dn.subtree="ou=Computers,dc=example,dc=org" by dn.base="
 cn=sambaservers,dc=example,dc=org" manage by * read
olcAccess: {3}to dn.subtree="ou=Group,dc=example,dc=org" by dn.base="cn=s
 ambaservers,dc=example,dc=org" manage by * read
olcAccess: {4}to dn.exact="sambaDomainName=DOMAINNAME,dc=example,dc=org" by 
  dn.base="cn=sambaservers,dc=example,dc=org" write by * read
olcAccess: {5}to dn.base="" by * read

Записи ou = Computers и ou = Group не являются обязательными и имеют значение только для smbldap -инструменты. Доступ для записи паролей с помощью samba также является необязательным. Вы можете обойтись без предоставления samba прав на запись в sambaDomainName = DOMAINNAME, dc = example, dc = org , если хотите.

Samba читает хэши, но не выполняет аутентификацию с их помощью.