Huhu,
Ja. Man kann sich als root
am DC Master anmelden und dann mit udm
den Account beliebig bearbeiten. Das geht, weil udm
zur Modifikation des LDAPs den eigenen Rechneraccount nimmt, und der DC-Master-Rechneraccount hat volle Schreibrechte.
Zu allerletzter Not kann man sich auch direkt mit ldapmodify
versuchen. Dazu nimmt man cn=admin,$(ucr get ldap/base)
als Account und das Passwort aus /etc/ldap.secret
als Passwort. Dieser Account ist praktisch der root
des LDAPs.
Zu den anderen Punkten kann ich nicht viel sagen, halte von solchen Maßnahmen aber nicht viel. Viel sinnvoller wäre es, dem Administrator-Account schlicht ein echt sicheres Passwort zu geben (und Sicherheit skaliert hier primär über die Länge, nicht über Sonderzeichen & Groß-/Kleinschreibung).
Gruß
mosu