winbind хочет соединяться с ldap обязательно через ldaps:636, так что как nss_ldap с starttls по :389 ему недостаточно 
хотя потом видно что соединился по 389 при работе

1. добавить ldif с DSA аккаунтами

2. # ldappasswd -x -h ldap.local -D "cn=Manager,dc=VEPR,dc=ru" -W cn=idmap-ldap,ou=DSA,dc=VEPR,dc=ru -s пароль


3. задаю пользователя в smb.conf

  idmap config VEPR:ldap_user_dn = cn=idmap-ldap,ou-DSA,dc=VEPR,dc=ru

4. задать ему пароль:
# net idmap secret VEPR пароль
Secret stored

4,5 (по ldapsam_editposix статье на wiki,samba - net sam provision)

5. проверить # wbinfo --group-info="domain admins"
domain admins:x:10001