поправил правила доступа чтобы члены группы admin могли редактировать все что угодно в ldap
access to *
by self write
by dn="cn=admin,dc=domain,dc=com" write
by users read
by anonymous read
на практике сие не работает, что я делаю не так ? уже всю голову сломал.