Я включил наложение политики паролей OpenLDAP, и теперь блокировка учетной записи работает нормально. При 5 неудачных попытках аутентификации учетная запись блокируется. После сброса пароля учетная запись снова становится открытой. Любой способ разблокировать его, кроме сброса пароля.
Устанавливать pwdLockoutDuration атрибут на некоторую сумму; значение в секундах. Думаю, что по умолчанию это 0 (бесконечно).
Разблокировать учетную запись вручную без необходимости сброса пароля путем удаления операционного атрибута pwdAccountLockedTime.