LDAP のバインドパスワードは smbpasswd -W によって ${privatedir}/secrets.tdb に格納されますが、このファイルには過去のパスワードが 1 世代、記録されてしまうようです（おそらく TDB 自体の仕様なのでしょう）。
tdbdump や tdbtool コマンドでは確認したり表示したりすることはできませんが、strings を掛けると分かります。

ということで、LDAP のバインドパスワードを変更するときは、smbpasswd -W を 2 回実行するか、tdbbackup でクリーンアップして置き換えると良さそうです。

# まぁ、パーミッションが正しく設定されている限りにおいては特に問題ないのですが、何となく精神衛生上良くないので...。