AD User Passwortänderung ermöglichen - LDAPS funktioniert nicht

Servus,
Dies ist mein Setup:
Ich habe einen privaten Nextcloud 25.0.3-Server in einem separaten debian 11 container auf meinem Proxmox Server laufen. PHP ist in Version 8.1.15 und die MariaDB-Datenbank in Version 10.3.34 und in einem eigenen Container installiert.
Der eigentliche Speicher ist ein TrueNAS-System, das mit der External Storage App über SMB eingebunden wird.
Die User verwalte ich in einem MS Active Directory, die mit der LDAP user and group App eingelesen werden.

Mein Problem:
Ich möchte meinen Usern ermöglichen, ihr AD-Passwort zu ändern, weil nicht alle einen eigenen Windows-PC in der Domäne haben.
Dazu habe ich in den Fortgeschrittenen Einstellungen der LDAP/AD Integration “LDAP-Passwortänderungen pro Benutzer aktivieren” angehakt, und dem User, der für die LDAP-Verbindung verwendet wird, rechte zur Benutzerverwaltung am AD erteilt.
Die User haben nun in ihren Sicherheitseinstellungen ein Feld, um ihr Passwort zu ändern. Wird hier ein neues Passwort eingetragen und auf “Passwort ändern” geklickt, kommt zwar ein grüner Haken und “Passwort geändert”, das alte Passwort gilt aber weiterhin und das neue wird nicht erkannt. Scheinbar wird es also nicht übernommen.
Da in der Dokumentation explizit LDAPS gefordert wird (was ich für den Heimgebrauch ausgelassen hätte, da NC und der AD DS am selben physischen Server in ihrem eigenen getrennten Netzwerk sind), versuche ich nun LDAPS zu aktivieren, was ja eigentlich auch kein Problem sein sollte.

Ich habe mich dazu grob an diese Anleitung gehalten: https://www.benjaminlindner.de/nextcloud-ldap-plugin-ueber-ssl-ldaps/ also:

  • ldap-utils installiert
  • Zertifikat am AD DS exportiert und auf den NC-Container unter /etc/ssl/certs/dmc_certificate.crt gespeichert
  • in der /etc/ldap/ldap.conf das Zertifikat eingetragen

der telnet-test auf Port 636 verläuft positiv, hier treten keine Fehler auf.
Ändere ich in NC nun den Port auf 636 und schreibe ldaps:// vor den FQDN des AD DS, funktioniert die ganze NC nicht mehr, ich bekomme nur noch einen nicht näher definierten 500 internal server error. Im Log taucht nur “Lost connection to LDAP Server” auf:

[webdav] Fehler: Sabre\DAV\Exception\ServiceUnavailable: OC\ServerNotAvailableException: Lost connection to LDAP server. at <<closure>>

0. /var/www/html/nextcloud/3rdparty/sabre/event/lib/WildcardEmitterTrait.php line 89
   {closure}("*** sensitive parameters replaced ***")
1. /var/www/html/nextcloud/3rdparty/sabre/dav/lib/DAV/Server.php line 456
   Sabre\DAV\Server->emit()
2. /var/www/html/nextcloud/3rdparty/sabre/dav/lib/DAV/Server.php line 253
   Sabre\DAV\Server->invokeMethod()
3. /var/www/html/nextcloud/3rdparty/sabre/dav/lib/DAV/Server.php line 321
   Sabre\DAV\Server->start()
4. /var/www/html/nextcloud/remote.php line 77
   Sabre\DAV\Server->exec()
5. /var/www/html/nextcloud/remote.php line 173
   handleException()

Ändere ich in der DB den Port zurück auf 389 und entferne das ldaps:// funktioniert alles wieder.

Beim Einrichten ist mir nur aufgefallen, dass /etc/ldap/ldap.conf noch nicht existiert hat. Liegt hier der Hund begraben? Habe ich irgendetwas noch nicht installiert? Liegt die ldap.conf eigentlich woanders?

Danke für eure Hilfe im Voraus und LG
RockNLol