Das Problem ist gelöst … und es lag wieder mal an unerwarteter Stelle:
Wir haben LetsEncrypt auf dem Server laufen, um gültige Zertifikate zu haben. Das setzt scheinbar ein paar Rechte von /etc/ssl/private anders als es OpenLDAP gefällt. Jedenfalls lief der Server monatelang ohne Neustart sauber durch, so dass der Fehler mit dem nicht mehr startenden slapd bisher nicht aufgefallen ist.
Lösung des Problems: Die Dateien server.pem / server.key unter /etc/ssl/private müssen root:ssl-cert gehören. Das war hier für die .key-Datei nach einem LetsEncrypt-Update nicht (mehr) der Fall!
Wenn man das wieder ändert, startet der Service slapd auch wieder. Geholfen hat es, das Loglevel unter /etc/ldap/slapd.conf --> loglevel 0 auf 256 zu ändern. Erst danach gab es eine Fehlermeldung im Syslog, mit der man etwas anfangen konnte (“main: TLS init def ctx failed: -1”). Zuvor wurde gar nichts gelogged, so dass alles OK aussah doch der Service dennoch nicht lief.
Vielleicht hilft’s auch anderen. Ich bin froh, dass unser Server wieder läuft…
Schöne Grüße,
Michael