Das hat funktioniert 
Ich musste nur eine Zeile im Schritt 1.2 der Extended Domain Services Documentation nach ldap_search_base = ${ldap_base} einfügen:
ldap_sudo_search_base = cn=sudo-ldap,cn=univention,${ldap_base}
Und eine SUDO Regel im LDAP anlegen. Zum Beispiel allen Mitgliedern der Gruppe “Domain Admins” alle Befehle per sudo auf allen Hosts zu erlauben:
Ich würde mich freuen, wenn das als ergänzender Hinweis in die Doku mit aufgenommen würde.