Como permitir que o usuário LDAP altere a senha?

Eu encontrei a solução no link

Em /etc/pam.d/common-password

#
# /etc/pam.d/common-password - password-related modules common to all services
# -- removed comment header talking about various options --

# here are the per-package modules (the "Primary" block)
password    [success=2 default=ignore]  pam_unix.so obscure sha512
password    [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass
# here's the fallback if no module succeeds
password    requisite           pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password    required            pam_permit.so
# and here are more per-package modules (the "Additional" block)
password    optional    pam_gnome_keyring.so 
# end of pam-auth-update config

Tente remover o parâmetro use_authtok e salve o arquivo. Talvez seja necessário reiniciar.
-Tim

Funciona! Tee hee

na regra de controle de acesso de gravação slapd.conf

access to attrs=userPassword   
by self =xw

Mas você deve estar ciente de que regras específicas devem ser escritas primeiro e regra geral no final.
por exemplo, a regra seguinte deve ser escrita no final.

access to * by * read 

Para mais informações, visite: link

MAIS INFORMAÇÕES
O slapd.conf geralmente está localizado em

/etc/openldap or  
/etc/ldap/ or 
/usr/local/etc/openldap/ or  
/usr/local/etc/ldap/  

Existem algumas mudanças nas versões mais recentes do ldap, nas quais o slapd.conf é suportado, mas, por padrão, os dados são armazenados no diretório slapd.d. se você colocar o seu slapd.conf customizado lá, o processo irá ler o slapd.conf ao invés do diretório slapd.d

Coisas para notar

1. às vezes, o slapd.conf está presente tanto no caminho local quanto no global. Tente alterar ambos
2. delete slapd.d direcotry já que é o padrão para fazer o trabalho do slapd.conf