Просто для полноты картины :оказалось, что это была просто ошибка, которую исправили после пары обновлений из репозитория.
Я нашел правильный подход:
cn=sudoread,dc=example,dc=com
cat > /tmp/tmplif <<EOF
dn: cn=sudoread,dc=example,dc=com
objectClass: top
objectClass: person
cn: sudoread
sn: read
userPassword: sudoread
EOF
$ ldapadd -H ldap://localhost -f /tmp/tmplif -D 'cn=root,dc=example,dc=com' -W
$ printf "sudoread" | base64
c3Vkb3JlYWQ=
ou=sudoers,dc=example,dc=com
для пользователя, созданного выше, прежде чем предоставлять полный доступ. access to dn.one="ou=sudoers,dc=example,dc=com"
by dn="cn=sudoread,dc=example,dc=com" read
access to *
by * read
$ cat >> /etc/sudo-ldap.conf <<EOF
binddn cn=sudoread,dc=example,dc=com
bindpw base64:c3Vkb3JlYWQ=
EOF
Это создаст пользователя, которого можно использовать для запросов к ldap и сохранения доступа остальных пользователей LDAP ко всему.