радости псто
два дня, два ебучих дня протрахался
короче самба (точнее пам, а ещё точнее нсс) пускает по лдапу условно "новых" пользователей и не пускает условно "старых". как в конечном итоге выяснилось, дело было в том, что у старых есть обджекткласс shadowAccount, а у новых нет. как это само по себе влияет на процесс авторизации я в душе не ебу, но пофиксить оказалось довольно просто -- вписать nss_map_objectclass shadowAccount posixAccount в /etc/libnss-ldap.conf.