Я решил свой вопрос таким образом :
1) Получить права cn=config(я так понял, типа главный админ)- сменив их
в .ldif (создать файл со следующим содержанием)
dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: вашпароль
после sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f имяфайла.ldif
2) дать права от дальних веток к корневым веткам.
ldapmodify -D cn=config -H ldapi:/// -W -f файл.ldif
пример формат импорта
Анонимы могут авторизоваться и читать. Перечисленные могут писать в свои ветки. Чем ниже пользователь в этом списке тем в более корневые ветки у него доступ
Права-правила к каждой ветки писать от более конкретной к более общей.
dn: olcDatabase={1}mdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: to dn.subtree="ou=Служба ветеринарии ou=Службы комитеты и прочее,ou=addressbook,dc=blabla,dc=ru"
by dn="cn=vet,ou=Служба ветеринари, ou=Службы комитеты и прочее,ou=addressbook,dc=blablal,dc=ru" manage
by anonymous read
by * read
olcAccess: to dn.subtree="ou=Департаменты,ou=addressbook,dc=blabla,dc=ru"
by dn="cn=editor,ou=Департамент развития ,ou=Департаменты,ou=addressbook,dc=blabla,dc=ru" manage
by anonymous read
by * read
olcAccess: to dn.subtree="ou=addressbook,dc=blabla,dc=ru"
by dn="uid=myuser,ou=addressbook,dc=blabla,dc=ru" manage
by anonymous read
by * read
olcAccess: to *
by self read
by * read