Необходимо добавить параметр tls_reqcert never в файл /etc/openldap/ldap.conf. Иначе не работает. Проверка сертификатов идет по протоколу SSLv2. С помощью s_server и s_client из openssl получаем 100% повторяемость неотдачи сертификата CA.
Не надо добавлять этот параметр. AFAIK, надо указывать TLS_CACERT с путём до CA сертификата, тогда и проблем не будет. IMHO, правильная настройка TLS -- это задача администриратора системы, а ставить такое допущение по дефолту плохо.
Необходимы параметр добавлен в конфигурационный файл, но по умолчанию он присутствует в виде комментария.