Патч, предложенный в 2016 году с игнорированиием суффикса ;binary для userCertificate не прошёл в апстрим: https://lists.samba.org/archive/samba-technical/2016-August/115566.html

Пользователи хотят реализацию этих RFC в sambaDC, так как они реализованы для openldap и 389ds.