Можно ли сойти с рук создание их "Продвинутые пользователи"?
Я не знаю, делают ли подкоды возвратов OpenLDAP ошибочного 49 как Active Directory. AD возвращает подтип кода ошибки для неверного пароля, по сравнению с плохим DN.
Вы уверены, что DN корректен?
Попытайтесь указать "-x" на командной строке. По умолчанию инструменты LDAP используют аутентификацию SASL,-x указывает "простую аутентификацию".