Eu segui as instruções encontradas aqui até o ponto em que ldapsearch é executado com -ZZ. O problema é depois de executar o ldapsearch com -ZZ, não há mais resposta.
Existe algum passo que o guia tenha omitido? Além disso, certifiquei-me de que seguisse cada passo em conformidade.
Aparentemente, o problema surge do uso pelo OpenLDAP do certutil do Mozilla NSS.
Parece não haver resposta, pois o banco de dados de certificados não possui um certificado com o mesmo nome indicado no atributo olcTLSCertificateFile do cn = config.ldif. O nome padrão é "OpenLDAP Server".
Para resolver isso, basta procurar o script generate-server-cert.sh que gera um certificado autoassinado para o servidor LDAP. Não se esqueça de reiniciar o daemon do LDAP para que as alterações entrem em vigor.
Seu problema pode ser a falta da diretiva "olcTLSCACertificateFile" junto com olcTLSCertificateFile e olcTLSCertificateKeyFile. Apontá-lo no mesmo olcTLSCertificateFile, porque para o que eu vejo nesse documento, você está usando um certificado auto-assinado.
olcTLSCACertificateFile: /etc/pki/tls/certs/slapdcert.pem
Você também pode usar a opção de depuração no ldapsearch para obter mais informações sobre o erro, desta forma:
ldapsearch -d256 <your other parameters here>
Verifique a diretiva de loglevel em "man slapd.conf" para saber mais sobre como especificar os níveis de depuração.
Eu tive o mesmo problema na minha máquina e finalmente descobri o que estava errado. Eu configurei um arquivo cert como olcTLSCACertificateFile e o arquivo continha dois certificados: um da CA raiz e um para o SubCA. Parece que o slapd não conseguiu analisar o arquivo e parou de funcionar. Não houve dica nem mensagem de erro clara do slapd.
Espero que esta dica possa ajudar alguém quando se deparar com o mesmo problema.